CVE-2024-10382

Versões da biblioteca Car App Android Jetpack anteriores à 1.7.0-beta02

O problema está relacionado a uma vulnerabilidade de execução de código na biblioteca Car App Android Jetpack. Especificamente, o CarAppService utiliza uma lógica de desserialização que permite a construção de classes Java arbitrárias, o que pode levar à execução de código arbitrário quando combinado com dispositivos específicos de desserialização Java. Um invasor precisa instalar um aplicativo malicioso no dispositivo da vítima para atacar qualquer aplicativo que utilize a biblioteca vulnerável.

Para versões anteriores à 1.7.0-beta02, atualize a biblioteca para uma versão posterior à 1.7.0-beta02 para resolver o problema. Como solução temporária, considere restringir o uso do CarAppService até que um patch esteja disponível. Evite usar a biblioteca vulnerável em aplicativos até que o problema seja resolvido.