2014-1139: Google Android: Eine Schwachstelle ermöglicht Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2014-09-16 18:24)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Eine Datenleckschwachstelle wurde für den Android Open-Source-Browser gefunden. Der Open-Source-Browser gehörte zur Standard-Auslieferung für alle Android Smartphones und Tablets vor Android 4.4 (KitKat). Es muss also davon ausgegangen werden, dass mindestens alle Versionen ab 4.2.1 betroffen sind, während diese Sicherheitslücke vermutlich mit Android 4.4 geschlossen wurde, indem der Chrome-Browwer in den Unterbau für KitKat integriert wurde. Für die Schwachstelle wurde für das Exploit-Framework Metasploit ein einfach zu nutzendes Modul veröffentlicht, das die Erzeugung einer Angriffswebseite "per Knopfdruck" erlaubt. Ein entfernter, nicht authentisierter Angreifer kann, unter Verwendung speziell präparierter Attribute, die Schwachstelle für einem Cross-Site-Scripting-Angriff ausnutzen und für andere Webseiten gespeicherte Daten aus dem Browser-Cache auslesen. Derzeit stehen keine Sicherheitsupdates für ältere Android-Versionen zur Verfügung.

Schwachstellen:

CVE-2014-6041

Same-Origin-Policy Schwachstelle im Android Browser

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.