谷歌发布安卓上的关键媒体进程以及root漏洞补丁

阅读量80858

|

发布时间 : 2015-12-09 17:35:09

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:http://www.pcworld.com/article/3012462/google-patches-critical-media-processing-and-rooting-vulnerabilities-in-android.html

译文仅供参考,具体内容表达以及含义原文为准。

https://p5.ssl.qhimg.com/t0196e2da71c4090c19.png

谷歌为Nexus智能手机和平板电脑发行了一批新型安全补丁,解决了通过恶性邮件、网页和彩信入侵安卓设备的漏洞。

谷歌在安全公告中表示: 固件更新系统会应用无线更新推广于支持Nexus设备,并且在接下来的48小时把补丁添加到安卓开放源代码项目(AOSP)。安全修复级别中包含的修复系统,例如LMY48Z或安卓棉花糖,会在2015年12月1日前建立。

这些更新系统修复了五个关键漏洞、十二个高级漏洞和两个中级漏洞。在一些操作系统媒体处理组件中,也就是处理音频视频回放和相应的元数据解析文件,又一次发现了相当数量的缺陷漏洞。

在操作系统的核心——媒体服务器中发现了一种严重的漏洞补丁。这种漏洞可以越权应用于执行不属于第三方应用的任意代码。用户在浏览器中使用特殊制作的媒体文件时,攻击者就可以通过欺诈手段或发送彩信来远程利用此种漏洞。

应该指出的是,在安卓默认的消息应用程序中,比如环聊或信使,接收到的多媒体信息无法自动解析。

其他三个可以通过邮件、网页浏览或彩信执行远程代码的媒体处理漏洞,也在Skia制图引擎和媒体服务器下载的用户模式驱动程序中得到修补。

最后被修补的漏洞是一个在安卓核心中特权升级的漏洞。它可以潜地允许恶性应用程序root执行代码,也就是系统中的最高权限。

这样的缺陷可以让某些狂热者用来完全控制设备,就是所谓的安卓root。但是在一些恶意攻击者手中,这样的缺陷会导致彻底而持久的入侵。并且,只有在操作系统执行更新时才会修复。

附加的权限升级缺陷在其他组件中也得到修复,但是它们不允许root,因此只被定为高级漏洞。即便如此,它们也可以给恶性应用程序发送本不应有的危险许可。

如果设备制造商提供了最新版本,谷歌建议安卓旧版用户更新到最新版本,。因为新版安卓适当地提高了安全性来阻碍或制止漏洞的利用。

谷歌安全团队也运用了Verify Apps和SafetyNet 这样的设置来监测预防潜在的危险应用程序。例如,谷歌市场(Google Play)就不接受用权限升级缺陷root设备的应用程序,Verify Apps也会默认阻止root可知的应用程序。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
默白
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66