ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

WebViewCodeExecution

CVE-2012-6636

WebViewCodeExecution (CVE-2012-6636) — это уязвимость в компоненте WebView мобильной операционной системы Google Android, позволяющая злоумышленникам выполнять на атакуемом устройстве произвольные сценарии на языке JavaScript. С использованием таких сценариев, в свою очередь, возможен вызов произвольных функций Java. При помощи указанной уязвимости злоумышленники могут получить несанкционированный доступ к хранящимся на устройстве конфиденциальным данным пользователя, а также выполнять различные действия, например, отправлять СМС-сообщения. При этом выполняемый на атакуемом устройстве сценарий имеет те же привилегии, что и эксплуатирующее уязвимость приложение. Опасности подвержены все версии Google Android младше 4.2.

Ни один современный мобильный антивирус не в состоянии детектировать приложение, использующее уязвимость WebViewCodeExecution, поскольку такие приложения не содержат в себе вредоносного кода, — он, например, может быть загружен из Интернета в виде обычной веб-страницы. В целях обеспечения безопасности пользователям рекомендуется не запускать на устройствах, работающих под управлением уязвимых версий ОС Android, любые приложения, полученные из непроверенных источников, а также внимательно отслеживать списки разрешений, которые требуют для своей работы устанавливаемые программы.

Технические подробности

Компонент WebView используется различными приложениями Android (например, браузерами) для отображения на экране устройства веб-страниц. Разработчики прикладных программ могут задействовать этот компонент при помощи системного API. Если в параметрах использующего компонент WebView приложения установлен флаг, позволяющий выполнять сценарии JavaScript, такие сценарии могут вызывать различные функции Java.

Уязвимость заключается в том, что сценарий JavaScript, выполняющийся в контексте компонента WebView, может вызвать произвольный метод Java по его имени непосредственно из HTML-кода веб-страницы. Таким образом, в уязвимой системе можно выполнить произвольный код с привилегиями, которые имеет уязвимое приложение.

Читайте также описания других уязвимостей

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А