Google一口氣修補(bǔ)13個(gè)Android漏洞,包含7個(gè)重大漏洞
Google于周一(2/1)更新Android平臺(tái),修補(bǔ)了13個(gè)安全漏洞,包含7個(gè)重大等級(jí)漏洞,其中3個(gè)漏洞涉及Wi-Fi功能,可能導(dǎo)致權(quán)限擴(kuò)張或遠(yuǎn)端程式攻擊。
本文引用地址:http://2s4d.com/article/201602/286630.htm在13個(gè)安全漏洞中有7個(gè)被列為“重大”(Critical)等級(jí),除了3個(gè)與Wi-Fi驅(qū)動(dòng)程式有關(guān)之外,其他4個(gè)分別存在于Mediaserver、高通(Qualcomm)效能模組與Debugger Daemon中。
3個(gè)與Wi-Fi有關(guān)的“重大”等級(jí)漏洞中,有兩個(gè)藏匿在博通(Broadcom)的Wi-Fi驅(qū)動(dòng)程式中,可能導(dǎo)致遠(yuǎn)端程式攻擊;一個(gè)則在高通(Qualcomm)的Wi-Fi驅(qū)動(dòng)程式中,為一權(quán)限擴(kuò)張漏洞。雖然還有一個(gè)是與Wi-Fi功能有關(guān)的權(quán)限擴(kuò)張漏洞,但其影響性并未列入“重大”風(fēng)險(xiǎn)等級(jí)。
根據(jù)Google的說(shuō)明,博通Wi-Fi驅(qū)動(dòng)程式中的2個(gè)安全漏洞允許駭客利用特制的無(wú)線控制訊息封包來(lái)破壞核心記憶體,以進(jìn)行遠(yuǎn)端程式執(zhí)行,當(dāng)駭客與受害者位于同一網(wǎng)路中時(shí)即可能觸發(fā)該漏洞。相關(guān)漏洞被列為重大風(fēng)險(xiǎn)等級(jí)的主要原因在于它們完全不需要使用者的互動(dòng)就能遠(yuǎn)端執(zhí)行程式。
高通Wi-Fi驅(qū)動(dòng)程式漏洞則會(huì)讓裝置上的惡意程式于核心中執(zhí)行任意程式,屬于權(quán)限擴(kuò)張漏洞且可常駐,可能需要重刷作業(yè)系統(tǒng)才能修補(bǔ)該漏洞。
13個(gè)修補(bǔ)的漏洞中,Google認(rèn)為最嚴(yán)重的是存在于Mediaserver的漏洞,只要處理郵件、瀏覽或多媒體訊息等媒體檔案都可能導(dǎo)致遠(yuǎn)端程式攻擊。不過(guò),迄今Google尚未收到與該漏洞有關(guān)的攻擊報(bào)告。
Google已透過(guò)自動(dòng)更新率先修補(bǔ)Nexus裝置,并已將更新后的Nexus韌體發(fā)表在Google開發(fā)人員網(wǎng)站上,Builds LMY49G與Android M with Security Patch Level of February 1, 2016版本也都完成修補(bǔ),至于修補(bǔ)后的原始碼則會(huì)在兩天內(nèi)提交到Android開放源碼專案(Android Open Source Project,AOSP)中。
去年發(fā)表的Android 6.0 棉花糖(Android 6.0 Marshmallow)版本中新增了“安全修補(bǔ)等級(jí)”(Security Patch Level)的標(biāo)示,可顯示最近一次的修補(bǔ)日期,棉花糖用戶可在“關(guān)于手機(jī)”(About phone)的選項(xiàng)中看到該標(biāo)示。
評(píng)論