谷歌再度致谢360:独家发现安卓多媒体库高危漏洞
日前,谷歌发布了10月安全公告,批量修复了多个Android漏洞。由360无线安全团队C0RE Team发现的存在于安卓多媒体库的3个漏洞被确认和修复,其中有两个漏洞更被划定为高危漏洞。此外,360公司另外两名安全研究员提交的两个漏洞亦被修复。同时,谷歌在公告中再度向360致谢。图:谷歌公开致谢360团队发现并提供漏洞
谷歌发布的安全公告显示,360安全研究员此次在Android系统中共发现5个安全漏洞,其中3个被划定为高危漏洞。目前,谷歌已发布最新补丁,并提醒用户尽快更新设备。
上述5个漏洞中,由360无线安全团队C0RE Team发现的两个存在于安卓多媒体库stagefright框架中的远程执行代码漏洞(CVE-2015-3868、CVE-2015-3869)被谷歌评级为“关键”漏洞。据了解,这两个高危漏洞存在于安卓5.1及以下多个版本,一旦被利用,黑客便可通过电子邮件、网页浏览、彩信等多种方式远程控制用户手机,在用户无法察觉的情况下窃取手机中的所有信息。
C0RE Team负责人吴家志介绍,CVE-2015-3868是一个堆溢出漏洞,可以被一个远程的包含MPEG4媒体文件的彩信触发,也可以透过浏览器或任何让用户下载媒体文件的方式完成攻击。CVE-2015-3869是一个可以透过Ogg音频文件触发的栈溢出漏洞,安卓多媒体库libstagefright在没有检查数据大小的情况下操作栈上面的内存空间,可导致mediaserver服务进程可能被控制跳转到恶意代码执行或崩溃。
此外,C0RE Team还在安卓多媒体库中发现了一个编号为CVE-2015-3862的漏洞,该漏洞包含一系列的指针引用问题,libstagefright在没有妥善检查的情况下引用指针,可能造成mediaserver服务进程崩溃,阻止正常服务。
谷歌在公告中表示,Android感谢有助于提高Android安全性的人士,并感谢360 C0RE Team和另外两名安全研究员对于Android的积极影响。可查阅的公开报道显示,这已经是360今年第四次因发现Android漏洞而获得谷歌官方公开致谢。早在今年3月、8月和9月,360安全研究员就由于先后发现谷歌Android存在的9个漏洞而受到谷歌官方的致谢。
由于安卓先天具备的开放性,在安全防护方面有些许不足。今年6月,谷歌针对安卓启动了一个名为Android security rewards的安全奖励项目,重金征集漏洞,360连续多次发现漏洞并提供给谷歌获得其致谢。
除了谷歌之外,360因发现并协助修复漏洞还获得来了微软、苹果、Adobe等巨头的致谢。其中,8月14日,360安全团队向苹果提交的两个漏洞也被确认并修复,并获得苹果公开致谢;自2009年以来,360已累计86次获微软安全公告致谢,在全球安全软件厂商中排名首位。 支持,看起来不错呢! 还是不错的哦,顶了 还是不错的哦,顶了 还是不错的哦,顶了 支持中国红客联盟(ihonker.org) 支持中国红客联盟(ihonker.org) 支持中国红客联盟(ihonker.org) 感谢楼主的分享~ 支持中国红客联盟(ihonker.org)