查看: 156079|回复: 594

谷歌再度致谢360:独家发现安卓多媒体库高危漏洞

[复制链接]
  • TA的每日心情

    2024-10-23 14:35
  • 签到天数: 917 天

    [LV.10]以坛为家III

    发表于 2015-10-10 16:27:32 | 显示全部楼层 |阅读模式
        日前,谷歌发布了10月安全公告,批量修复了多个Android漏洞。由360无线安全团队C0RE Team发现的存在于安卓多媒体库的3个漏洞被确认和修复,其中有两个漏洞更被划定为高危漏洞。此外,360公司另外两名安全研究员提交的两个漏洞亦被修复。同时,谷歌在公告中再度向360致谢。
    201510101524154458601.jpg
      图:谷歌公开致谢360团队发现并提供漏洞
      谷歌发布的安全公告显示,360安全研究员此次在Android系统中共发现5个安全漏洞,其中3个被划定为高危漏洞。目前,谷歌已发布最新补丁,并提醒用户尽快更新设备。
      上述5个漏洞中,由360无线安全团队C0RE Team发现的两个存在于安卓多媒体库stagefright框架中的远程执行代码漏洞(CVE-2015-3868、CVE-2015-3869)被谷歌评级为“关键”漏洞。据了解,这两个高危漏洞存在于安卓5.1及以下多个版本,一旦被利用,黑客便可通过电子邮件、网页浏览、彩信等多种方式远程控制用户手机,在用户无法察觉的情况下窃取手机中的所有信息。
      C0RE Team负责人吴家志介绍,CVE-2015-3868是一个堆溢出漏洞,可以被一个远程的包含MPEG4媒体文件的彩信触发,也可以透过浏览器或任何让用户下载媒体文件的方式完成攻击。CVE-2015-3869是一个可以透过Ogg音频文件触发的栈溢出漏洞,安卓多媒体库libstagefright在没有检查数据大小的情况下操作栈上面的内存空间,可导致mediaserver服务进程可能被控制跳转到恶意代码执行或崩溃。
      此外,C0RE Team还在安卓多媒体库中发现了一个编号为CVE-2015-3862的漏洞,该漏洞包含一系列的指针引用问题,libstagefright在没有妥善检查的情况下引用指针,可能造成mediaserver服务进程崩溃,阻止正常服务。
      谷歌在公告中表示,Android感谢有助于提高Android安全性的人士,并感谢360 C0RE Team和另外两名安全研究员对于Android的积极影响。可查阅的公开报道显示,这已经是360今年第四次因发现Android漏洞而获得谷歌官方公开致谢。早在今年3月、8月和9月,360安全研究员就由于先后发现谷歌Android存在的9个漏洞而受到谷歌官方的致谢。
      由于安卓先天具备的开放性,在安全防护方面有些许不足。今年6月,谷歌针对安卓启动了一个名为Android security rewards的安全奖励项目,重金征集漏洞,360连续多次发现漏洞并提供给谷歌获得其致谢。
      除了谷歌之外,360因发现并协助修复漏洞还获得来了微软、苹果、Adobe等巨头的致谢。其中,8月14日,360安全团队向苹果提交的两个漏洞也被确认并修复,并获得苹果公开致谢;自2009年以来,360已累计86次获微软安全公告致谢,在全球安全软件厂商中排名首位。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-10-11 06:00:55 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-2-12 22:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2015-10-12 16:14:40 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-12 17:20:51 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2016-4-13 21:38
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-10-12 17:20:53 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-13 08:02:50 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-14 02:09:32 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-10-24 10:52
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-10-16 01:19:55 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-16 04:16:32 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-17 01:02:42 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-22 00:07 , Processed in 0.033818 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部