查看: 119147|回复: 384

谷歌发布安卓上的关键媒体进程以及root漏洞补丁

[复制链接]
  • TA的每日心情
    奋斗
    2024-1-11 16:11
  • 签到天数: 426 天

    [LV.9]以坛为家II

    发表于 2015-12-10 17:02:16 | 显示全部楼层 |阅读模式
    谷歌为Nexus智能手机和平板电脑发行了一批新型安全补丁,解决了通过恶性邮件、网页和彩信入侵安卓设备的漏洞。

    谷歌在安全公告中表示: 固件更新系统会应用无线更新推广于支持Nexus设备,并且在接下来的48小时把补丁添加到安卓开放源代码项目(AOSP)。安全修复级别中包含的修复系统,例如LMY48Z或安卓棉花糖,会在2015年12月1日前建立。

    这些更新系统修复了五个关键漏洞、十二个高级漏洞和两个中级漏洞。在一些操作系统媒体处理组件中,也就是处理音频视频回放和相应的元数据解析文件,又一次发现了相当数量的缺陷漏洞。

    在操作系统的核心——媒体服务器中发现了一种严重的漏洞补丁。这种漏洞可以越权应用于执行不属于第三方应用的任意代码。用户在浏览器中使用特殊制作的媒体文件时,攻击者就可以通过欺诈手段或发送彩信来远程利用此种漏洞。

    应该指出的是,在安卓默认的消息应用程序中,比如环聊或信使,接收到的多媒体信息无法自动解析。

    其他三个可以通过邮件、网页浏览或彩信执行远程代码的媒体处理漏洞,也在Skia制图引擎和媒体服务器下载的用户模式驱动程序中得到修补。

    最后被修补的漏洞是一个在安卓核心中特权升级的漏洞。它可以潜地允许恶性应用程序root执行代码,也就是系统中的最高权限。

    这样的缺陷可以让某些狂热者用来完全控制设备,就是所谓的安卓root。但是在一些恶意攻击者手中,这样的缺陷会导致彻底而持久的入侵。并且,只有在操作系统执行更新时才会修复。

    附加的权限升级缺陷在其他组件中也得到修复,但是它们不允许root,因此只被定为高级漏洞。即便如此,它们也可以给恶性应用程序发送本不应有的危险许可。

    如果设备制造商提供了最新版本,谷歌建议安卓旧版用户更新到最新版本,。因为新版安卓适当地提高了安全性来阻碍或制止漏洞的利用。

    谷歌安全团队也运用了Verify Apps和SafetyNet 这样的设置来监测预防潜在的危险应用程序。例如,谷歌市场(Google Play)就不接受用权限升级缺陷root设备的应用程序,Verify Apps也会默认阻止root可知的应用程序。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-12-11 06:20:14 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2022-10-21 10:32
  • 签到天数: 11 天

    [LV.3]偶尔看看II

    发表于 2015-12-11 21:04:53 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-12 23:48:22 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-13 03:14:03 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-13 07:16:05 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-13 08:12:20 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-12-13 09:03:04 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-13 14:07:08 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-14 16:11:13 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-24 08:14 , Processed in 0.030381 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部