近日，有安全研究员公布了两个android本地提权：CNNVD-201411-420和CNNVD-201412-497漏洞。

Google Android本地权限提升漏洞(CNNVD-201411-420)，Android是基于Linux开放性内核的操作系统，是Google公司在2007年11月5日公布的手机操作系统。Android 5.0之前版本java.io.ObjectInputStream没有检查要反序列化的对象是否真的可以序列化，攻击者利用此漏洞通过恶意对象可在system_server进程中执行任意代码并获取提升的权限。

QSEECOM驱动程序内存破坏漏洞(CNNVD-201412-497)，QSEECOM驱动程序提供了ioctl系统调用接口，用于用户空间客户端的通讯。在linux内核3.x内核的QSEECOM driver的drivers/misc/qseecom.c，同时使用在MSM设备的Qualcomm Innovation Center (QuIC) Android和其他一些产品。没有验证ioctl调用中的某些偏移、长度、基值，攻击者通过构造的应用，利用此漏洞可获取提升的权限或造成拒绝服务。