快捷搜索:

Android藏重大漏洞,用户只要点击PNG图片就可能遭

作者: 互联网资讯  发布:2019-11-03

百乐门棋牌,Google在今年2月发布的Android安全更新中,修补了3个涉及PNG文件的重大漏洞,相关漏洞允许黑客在PNG中植入恶意程序,用户只要点击PNG图片就能触发漏洞,而惹来远程程序攻击。

详细报告http://googleprojectzero.blogspot.ro/2015/11/hack-galaxy-hunting-bugs-in-samsung.html

来自Tripwire的安全研究人员Craig Young指出,相关漏洞与Android在描绘图片之前如何进行解析有关,这些漏洞之所以存在是因为Android依然在特权流程中解析媒体文件。 Young认为,媒体处理是风险最高的活动之一,自动化的媒体解析不但应该要保持在最低限制,也应该在隔离的环境中执行。

百乐门棋牌 1

百乐门棋牌 2

谷歌团队披露漏洞细节

根据Google的说明,本次更新最严重的安全漏洞藏匿在框架(Framework)中,允许远程黑客通过特定的PNG文件,在特权流程中执行任意程序,包括CVE- 2019-1986、CVE-2019-1987及CVE-2019-1988,波及从Android 7.0到Android 9的各种Android版本。

“这是多么的令人感到遗憾,用于解压缩文件的API并不会核实文件路径,所以能够从不期望的地址上执行写入操作,使用Dalvik缓存能够充分利用漏洞。”

PNG文件的全名为Portable Network Graphics,为一专为网络传输所设计的文件格式,并准备用来取代GIF。

谷歌研究人员最终发现,三星的代码中有11处安全漏洞。黑客可以借助这些漏洞制作具有系统特权的文件,窃取用户电子邮件,并在内核中执行代码,同时增加特权和非特权应用。

尽管Google宣称尚未发现黑客的攻击行动,而且已将修补版本发布至Android开源项目(Android Open Source Project,AOSP),但目前只有诸如Pixel等Google品牌的设备可直接取得Google的安全更新,至于其它品牌的手机或平板则仍得视设备制造商或电信企业的更新进程才能取得修补,意味着仍有众多的Android设备陷于该重大安全风险中。

谷歌表示,该公司发现了一些非常严重的问题,主要集中于设备驱动和媒体处理方面。另外还有3个影响较大的逻辑缺陷也很容易被黑客利用。

这代表Android用户只要点击可爱的猫、狗图片,或是看起来无害的风景照,都可能遭到远程程序攻击。

存在漏洞的包括WifiHs20UtilityService和三星电子邮件客户端等应用。另外,三星后期增加的驱动和图片分析组件也存在很多问题,黑客只需简单地在Galaxy S6 Edge上下载一个图片就能利用其中的3处缺陷。漏洞的编号分别为(CVE-2015-7888,CVE-2015-7889,CVE-2015-7890, CVE-2015-7891, CVE-2015-7892,CVE-2015-7893,CVE-2015-7894, CVE-2015-7895, CVE-2015-7896, CVE-2015-7897, CVE-2015-7898)。

本文由百乐门棋牌发布于互联网资讯,转载请注明出处:Android藏重大漏洞,用户只要点击PNG图片就可能遭

关键词: