谷歌修复了11个Android RCE 高危漏洞
12月,谷歌的Android安全公告表示,他们解决了53个高危安全漏洞,引人注目的是RCE漏洞占主导地位。这11个严重的RCE漏洞是Android安全团队修补的53个漏洞中的一部分,其中6个是与操作系统的媒体框架和系统组件相关的RCE漏洞。
根据谷歌的说法,没有这些漏洞在野利用的消息。谷歌的Pixel和Nexus设备、三星、LG、HTC等Android旗舰手机等需要打上安全补丁。根据公告,无线更新将发送到谷歌手机,其他设备制造商和移动运营商的更新时间将有所不同。
作为软硬件中转角色的Android媒体框架,受到了漏洞冲击。四个RCE漏洞(CVE-2018-9549,CVE-2018-9550,CVE-2018-9551,CVE-2018-9552)影响了Android7.0到安卓9。
Android安全团队周一发布最严重的漏洞是RCE漏洞,“远程攻击者可使用特制文件在特权进程的环境中执行任意代码。”不过,目前还不能获取到CVE的其他关键信息。
总共有42个CVE安全危害程度较高,其中9个与特权升级(EoP)bug相关联。其中有一个EoP bug (CVE-2018-10840)与Android内核组件(ext4文件系统)有关。
“Linux内核容易受到fs/ext4/xattr.c:ext4_xattr_set_entry()函数造成的堆缓冲区溢出的影响。根据Red Hat Bugzilla报告,攻击者可以通过操作已安装的ext4 image来利用此漏洞“,这个漏洞最初由Sam Fowler在5月报道,并在本月公开披露并修补。
被列为严重程度较高的漏洞中,有24个与高通有关。关于高通的漏洞,只有有限的信息。
设备制造商LG也发布了LG的12月安全公告,并列出了自己的三个高严重性漏洞,包括短信漏洞、紧急通话触发的GPS漏洞、GPS使用漏洞(仅限MTK芯片组)。
与此同时,三星表示,在12月三星移动更新了包括谷歌Android更新在内的40个漏洞。虽然提供的数据有限,但还是可以知道有两个漏洞与8895芯片组上运行的ARM Exynos系统架构(9810系列)有关。一个是堆栈溢出漏洞,可能允许任意代码执行。第二个是堆溢出,可导致内存问题的漏洞。”
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文