谷歌剛剛修復了 Android 上的兩個特別嚴重的缺陷,正如我們在最新的 Android 安全公告。第一個 (CVE-2016-3862) 是由 SentinelOne 的安全研究員 Tim Strazzere 發現的。將簡單的 JPEG 影像傳送到電子郵件用戶端或即時訊息就足以利用它,並在必要時執行任意程式碼。此缺陷存在於「ExifInterface」庫中,用於存取影像的 Exif 元資料。
Tim Strazzere 能夠在 Gmail 和 Gchat 應用程式(他稱之為 Google 的即時通訊應用程式)中驗證它。無需用戶執行任何操作即可引起感染。「您不需要點擊圖像或點擊附件。只需打開電子郵件»,他解釋說Threatpost.com。該漏洞影響4.2以上的所有Android版本。這很讓人想起著名的缺陷怯場2015 年 7 月,它允許您透過發送簡單的彩信來破解 Android 智慧型手機。
高風險字串
第二個嚴重缺陷 (CVE-2016-3861) 是由 Google 零專案工程師 Marc Brand 發現的。它位於一個名為“libutils”的函式庫中,必要時允許執行任意程式碼或提升權限。更準確地說,問題在於管理 Unicode 字串轉換的函數,該函數在許多其他庫中使用。因此,攻擊面可能相當大,可以覆蓋“所有 Android 裝置”正如馬克布蘭德 (Marc Brand) 在一篇文章中指出的那樣部落格文章。您只需找到一個攻擊向量,即在給定時刻使用這種著名的 Unicode 轉換的應用程序,然後確保它遇到可能導致錯誤的字串。作為演示,Marc Brand 透過依賴 MP3 檔案的 ID3 元資料來利用此缺陷。
Google 在 Android 更新中修復了這兩個嚴重缺陷以及其他 17 個不太重要的缺陷。像往常一樣,問題在於此更新可能需要一段時間才能傳播給用戶。這完全取決於製造商和/或運營商的速度。因此,目前數百萬用戶很可能仍然容易受到這兩個缺陷的影響。
資料來源:
威脅站,Google零號計劃,Android 安全公告