浮尘 发表于 2015-10-10 16:27:32

谷歌再度致谢360:独家发现安卓多媒体库高危漏洞

    日前,谷歌发布了10月安全公告,批量修复了多个Android漏洞。由360无线安全团队C0RE Team发现的存在于安卓多媒体库的3个漏洞被确认和修复,其中有两个漏洞更被划定为高危漏洞。此外,360公司另外两名安全研究员提交的两个漏洞亦被修复。同时,谷歌在公告中再度向360致谢。

  图:谷歌公开致谢360团队发现并提供漏洞
  谷歌发布的安全公告显示,360安全研究员此次在Android系统中共发现5个安全漏洞,其中3个被划定为高危漏洞。目前,谷歌已发布最新补丁,并提醒用户尽快更新设备。
  上述5个漏洞中,由360无线安全团队C0RE Team发现的两个存在于安卓多媒体库stagefright框架中的远程执行代码漏洞(CVE-2015-3868、CVE-2015-3869)被谷歌评级为“关键”漏洞。据了解,这两个高危漏洞存在于安卓5.1及以下多个版本,一旦被利用,黑客便可通过电子邮件、网页浏览、彩信等多种方式远程控制用户手机,在用户无法察觉的情况下窃取手机中的所有信息。
  C0RE Team负责人吴家志介绍,CVE-2015-3868是一个堆溢出漏洞,可以被一个远程的包含MPEG4媒体文件的彩信触发,也可以透过浏览器或任何让用户下载媒体文件的方式完成攻击。CVE-2015-3869是一个可以透过Ogg音频文件触发的栈溢出漏洞,安卓多媒体库libstagefright在没有检查数据大小的情况下操作栈上面的内存空间,可导致mediaserver服务进程可能被控制跳转到恶意代码执行或崩溃。
  此外,C0RE Team还在安卓多媒体库中发现了一个编号为CVE-2015-3862的漏洞,该漏洞包含一系列的指针引用问题,libstagefright在没有妥善检查的情况下引用指针,可能造成mediaserver服务进程崩溃,阻止正常服务。
  谷歌在公告中表示,Android感谢有助于提高Android安全性的人士,并感谢360 C0RE Team和另外两名安全研究员对于Android的积极影响。可查阅的公开报道显示,这已经是360今年第四次因发现Android漏洞而获得谷歌官方公开致谢。早在今年3月、8月和9月,360安全研究员就由于先后发现谷歌Android存在的9个漏洞而受到谷歌官方的致谢。
  由于安卓先天具备的开放性,在安全防护方面有些许不足。今年6月,谷歌针对安卓启动了一个名为Android security rewards的安全奖励项目,重金征集漏洞,360连续多次发现漏洞并提供给谷歌获得其致谢。
  除了谷歌之外,360因发现并协助修复漏洞还获得来了微软、苹果、Adobe等巨头的致谢。其中,8月14日,360安全团队向苹果提交的两个漏洞也被确认并修复,并获得苹果公开致谢;自2009年以来,360已累计86次获微软安全公告致谢,在全球安全软件厂商中排名首位。

wilist 发表于 2015-10-11 06:00:55

支持,看起来不错呢!

xiaoqqf4 发表于 2015-10-12 16:14:40

还是不错的哦,顶了

admin1964 发表于 2015-10-12 17:20:51

还是不错的哦,顶了

H.U.C—Prince 发表于 2015-10-12 17:20:53

还是不错的哦,顶了

ruguoruo 发表于 2015-10-13 08:02:50

支持中国红客联盟(ihonker.org)

asion 发表于 2015-10-14 02:09:32

支持中国红客联盟(ihonker.org)

菜鸟小羽 发表于 2015-10-16 01:19:55

支持中国红客联盟(ihonker.org)

H.U.C-麦麦 发表于 2015-10-16 04:16:32

感谢楼主的分享~

小路 发表于 2015-10-17 01:02:42

支持中国红客联盟(ihonker.org)
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 谷歌再度致谢360:独家发现安卓多媒体库高危漏洞