发布日期：2013-06-24
更新日期：2013-06-25

受影响系统：

spritesoftware Backup
spritesoftware spritebud
LG LG Optimus G

描述：

---

BUGTRAQ  ID: 60749
CVE(CAN) ID: CVE-2013-3685

"Backup"及"spritebud"是Sprite Software编写的应用备份/恢复系统，用在LG Android智能手机上。

spritebud 1.3.24、backup 2.5.4105在实现上存在本地权限提升漏洞，本地攻击者可利用此漏洞获取受影响设备的root权限。"spritebud" 后台程序是由 init 脚本启动并以root用户运行，监听在unix套接字上，接受"Backup"应用的指令。攻击者通过特制的备份，就可以写入任何文件、更改其权限和所有权。

<*来源：Justin Case
  
  链接：http://seclists.org/fulldisclosure/2013/Jun/196
        https://plus.google.com/110348415484169880343/posts/Me2yea2PgwE
        https://github.com/CunningLogic/LGPwn
*>

建议：

---

厂商补丁：

spritesoftware
--------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.spritesoftware.com/

浏览次数：3892
严重程度：0（网友投票）