Google закрыла уязвимости в Android

12/10/2009 18:51

Корпорация Google выпустила исправление для мобильной платформы Android 1.5, закрывающее две уязвимости в системе безопасности, которые позволяли проводить атаки отказа в обслуживании.
Воспользовавшись одной из «дыр», злоумышленник мог отправить по WAP-протоколу SMS, представленное как Push-сообщение. Вредоносный код этого SMS мог привести к ошибке исключения ArrayIndexOutOfBoundsException (адресация элементов за пределами массива) в Java-приложении android.com.phone. Аварийно завершившееся приложение автоматически перезапускалось, попутно приводя к временному отключению телефона от мобильной сети и пропуску входящих звонков. Тем пользователям, у которых сим-карта требовала ввода PIN, приходилось набирать его заново. При длительном повторении ошибки мог произойти отказ в обслуживании. Обычно Push-сообщения используются операторами или сервисными провайдерами для пересылки рингтонов, обоев и прочего контента.
Вторая проблема касалась уязвимости в API регистр-ориентированной виртуальной Java-машины Dalvik, присутствующей на любом Android-устройстве. Злоумышленники могли воспользоваться дефектом безопасности, чтобы заставить системный процесс телефона постоянно перезагружаться, вызывая в итоге отказ в обслуживании.
Источник