Представлен корректирующий выпуск CyanogenMod 10.1.1, развиваемой независимым сообществом альтернативной сборки платформы Android. Новая версия примечательная устранением уязвимости, позволяющей вносить изменения в APK-пакеты без нарушения цифровой подписи. В новой версии CyanogenMod также устранена уязвимость CVE-2013-2094 в ядре Linux и две уязвимости (CVE-2013-2596, CVE-2013-2597) специфичные для платформы Qualcomm.

Изначально детали уязвимости, позволяющей обходить проверку APK-пакетов, планировалось раскрыть 27 июля, но после публикации анонса разработчики CyanogenMod смогли докопаться до сути проблемы. Проблема вызвана особенностью распаковки архивов - атакующий может создать APK-пакет с дублирующимися файлами, т.е. пакет будет содержать все изначальные данные для которых сработает проверка по контрольной сумме и одновременно изменённые файлы, которые не будут затронуты при проверке, но будут распакованы при установке и использованы вместо изначальных файлов пакета.

Компания Bluebox, изначально обнаружившая наличие уязвимости, опубликовала специальное приложение для проверки наличия проблемы, а также для сканирования APK-пакетов на предмет попыток эксплуатации уязвимости. Компания Google представила исправление для OEM-производителей, которые на его основе подготовят обновление прошивки. Из производителей уже выпустивших обновления отмечается компания Samsung (исправление доступно для модели Galaxy S4).

Источник: http://www.opennet.ru/opennews/art.shtml?num=37409