Брешь в системе безопасности, которая присутствует в версиях OS Android старше 5.0 и создает потенциальную угрозу атак для повышения привилегий, исправлена в новой версии операционной системы Android 5.0 Lollipop. Эксплуатация уязвимости, обнаруженной Яном Хорном (Jann Horn), позволяет злоумышленнику обойти защиту ASLR (Рандомизация адресного пространства) и выполнить произвольный код на целевом устройстве.
Уязвимость существовала из-за того, что java.io.ObjectInputStream не проверял, является ли объект сериализируемым, перед его де-сериализацией. Злоумышленнику достаточно было создать экземпляр любого класса и заполнить поля его конструктора произвольными значениями. В итоге вредоносный объект был проигнорирован либо ему был присвоен неверный тип, что препятствовало использованию этого объекта в различных методах либо для чтения данных. Однако при срабатывании сборщика мусора вызывался метод finalize. Выпущенное исправление предназначено только для Android Lollipop, более ранние версии операционной системы остаются уязвимыми. (Android/NovostIT)