精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動態(tài) → 正文

一張圖片能導(dǎo)致數(shù)百萬Android手機(jī)被黑?

責(zé)任編輯:editor005 |來源:企業(yè)網(wǎng)D1Net  2016-09-08 15:16:20 本文摘自:FreeBuf.COM

谷歌今天發(fā)布了最新的Android安全公告(Android Security Bulletin),針對前一陣曝出的一系列漏洞做了補(bǔ)丁修復(fù),比如說影響到9億臺設(shè)備、針對高通芯片的Quadrooter漏洞——這也是本次Android補(bǔ)丁修復(fù)漏洞的重點(diǎn)。

不過來自Forbes的報道,實際上這次谷歌還修復(fù)了一個鮮為人知的漏洞,看起來也是相當(dāng)危險:只要有人給你發(fā)一張照片,Android手機(jī)就可能被入侵——在某些情況下,用戶甚至不需要點(diǎn)擊這張照片,手機(jī)自動對照片進(jìn)行解析時,黑客就能遠(yuǎn)程控制Android設(shè)備,或者令設(shè)備變磚。

  點(diǎn)開圖片 手機(jī)就變磚

該漏洞編號為CVE-2016-3862,實際上和先前著名的Stagefright(只需要一條彩信就能控制受害者的手機(jī))有些類似,或者說和前一陣蘋果系統(tǒng)中的CVE-2016-4631漏洞更像。不過這次的漏洞與圖片的EXIF信息有關(guān):數(shù)字圖片除了自身呈現(xiàn)畫面的數(shù)據(jù)之外,還附帶有EXIF數(shù)據(jù)——比如這張照片是用什么設(shè)備拍的,照片拍攝所在地理位置、拍攝時光圈、快門分別是多少等等,這些信息就屬于EXIF數(shù)據(jù)部分。

Android系統(tǒng)中讀寫JPG圖片EXIF擴(kuò)展信息的API為ExifInterface——在應(yīng)用解析圖片信息的過程中,該漏洞就能被惡意代碼利用。任何使用了ExifInterface類的Android應(yīng)用都可能觸發(fā)此漏洞。來自安全公司SentinelOne的Strazzere表示,如Gchat、Gmail這些應(yīng)用,用戶在這些應(yīng)用中打開圖片文件,就可能導(dǎo)致設(shè)備崩潰,甚至“遠(yuǎn)程代碼執(zhí)行”,并在用戶毫無察覺的情況下在系統(tǒng)中植入惡意程序,并進(jìn)行全面控制。

“該漏洞不需要引起用戶太多的注意就能觸發(fā),比如應(yīng)用只需要以特定的方式來加載圖片。觸發(fā)的方式非常簡單,包括接收一條消息或者電子郵件。只要應(yīng)用對照片進(jìn)行解析(這個過程是系統(tǒng)自動進(jìn)行的),就會導(dǎo)致問題發(fā)生。”

“從理論上來說,攻擊者可以在圖片文件中構(gòu)建惡意代碼,感染大量設(shè)備…Gchat、Gmail和絕大部分其他消息通訊應(yīng)用、社交網(wǎng)絡(luò)應(yīng)用都可能觸發(fā)該漏洞。”不過Strazzere并沒有說明,究竟具體是哪些應(yīng)用受到影響,只是說包括一些“隱私敏感”工具。

  若無法升級系統(tǒng) 請更換手機(jī)

Forbes的這篇文章中并沒有詳述該漏洞的技術(shù)細(xì)節(jié),我們從Android安全公告中看到,谷歌對這個漏洞的歸類為“Mediaserver中的遠(yuǎn)程代碼執(zhí)行漏洞”,漏洞威脅等級為Critical緊急級別。漏洞描述如下:

“Mediaserver中的遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者通過專門構(gòu)建的文件,在媒體文件和數(shù)據(jù)處理過程中,可致內(nèi)存崩潰(corruption)。鑒于該問題可導(dǎo)致在Mediaserver進(jìn)程中進(jìn)行遠(yuǎn)程代碼執(zhí)行,故將漏洞分級為緊急級別。”

谷歌這次發(fā)布的Android系統(tǒng)9月補(bǔ)丁針對Android 4.4.4及更高版本的系統(tǒng)(已經(jīng)升級Android 7.0的設(shè)備似乎是不受影響的),不過據(jù)說更老版本的系統(tǒng)也存在這一問題,只不過谷歌已不再支持早期版本的系統(tǒng)更新。Strazzere特別針對Android 4.2以及部分亞馬遜Kindle平板設(shè)備進(jìn)行了試驗,發(fā)現(xiàn)也都存在此問題。

所以Strazzere的建議是,如果你的Android手機(jī)過老,已經(jīng)不能再進(jìn)行系統(tǒng)升級了,那么只要你還在意安全性,就請換一部手機(jī)吧。運(yùn)行Android 4.4.4系統(tǒng)以上版本的Nexus設(shè)備今天應(yīng)該就會收到一波更新,其他OEM廠商的Android設(shè)備就需要等廠商和運(yùn)營商的補(bǔ)丁推送計劃了。

根據(jù)Android系統(tǒng)BUG獎勵計劃,Strazzere獲得了谷歌4000美元的獎勵,不過據(jù)說谷歌還多獎勵了另外4000美元給他。而Strazzere則將這8000美元捐給了Girls Garage項目(為9-13歲的女孩準(zhǔn)備的building計劃)。

* FreeBuf官方報道,本文作者:歐陽洋蔥,轉(zhuǎn)載請注明來自FreeBuf.COM

關(guān)鍵字:Android谷歌圖片

本文摘自:FreeBuf.COM

x 一張圖片能導(dǎo)致數(shù)百萬Android手機(jī)被黑? 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動態(tài) → 正文

一張圖片能導(dǎo)致數(shù)百萬Android手機(jī)被黑?

責(zé)任編輯:editor005 |來源:企業(yè)網(wǎng)D1Net  2016-09-08 15:16:20 本文摘自:FreeBuf.COM

谷歌今天發(fā)布了最新的Android安全公告(Android Security Bulletin),針對前一陣曝出的一系列漏洞做了補(bǔ)丁修復(fù),比如說影響到9億臺設(shè)備、針對高通芯片的Quadrooter漏洞——這也是本次Android補(bǔ)丁修復(fù)漏洞的重點(diǎn)。

不過來自Forbes的報道,實際上這次谷歌還修復(fù)了一個鮮為人知的漏洞,看起來也是相當(dāng)危險:只要有人給你發(fā)一張照片,Android手機(jī)就可能被入侵——在某些情況下,用戶甚至不需要點(diǎn)擊這張照片,手機(jī)自動對照片進(jìn)行解析時,黑客就能遠(yuǎn)程控制Android設(shè)備,或者令設(shè)備變磚。

  點(diǎn)開圖片 手機(jī)就變磚

該漏洞編號為CVE-2016-3862,實際上和先前著名的Stagefright(只需要一條彩信就能控制受害者的手機(jī))有些類似,或者說和前一陣蘋果系統(tǒng)中的CVE-2016-4631漏洞更像。不過這次的漏洞與圖片的EXIF信息有關(guān):數(shù)字圖片除了自身呈現(xiàn)畫面的數(shù)據(jù)之外,還附帶有EXIF數(shù)據(jù)——比如這張照片是用什么設(shè)備拍的,照片拍攝所在地理位置、拍攝時光圈、快門分別是多少等等,這些信息就屬于EXIF數(shù)據(jù)部分。

Android系統(tǒng)中讀寫JPG圖片EXIF擴(kuò)展信息的API為ExifInterface——在應(yīng)用解析圖片信息的過程中,該漏洞就能被惡意代碼利用。任何使用了ExifInterface類的Android應(yīng)用都可能觸發(fā)此漏洞。來自安全公司SentinelOne的Strazzere表示,如Gchat、Gmail這些應(yīng)用,用戶在這些應(yīng)用中打開圖片文件,就可能導(dǎo)致設(shè)備崩潰,甚至“遠(yuǎn)程代碼執(zhí)行”,并在用戶毫無察覺的情況下在系統(tǒng)中植入惡意程序,并進(jìn)行全面控制。

“該漏洞不需要引起用戶太多的注意就能觸發(fā),比如應(yīng)用只需要以特定的方式來加載圖片。觸發(fā)的方式非常簡單,包括接收一條消息或者電子郵件。只要應(yīng)用對照片進(jìn)行解析(這個過程是系統(tǒng)自動進(jìn)行的),就會導(dǎo)致問題發(fā)生。”

“從理論上來說,攻擊者可以在圖片文件中構(gòu)建惡意代碼,感染大量設(shè)備…Gchat、Gmail和絕大部分其他消息通訊應(yīng)用、社交網(wǎng)絡(luò)應(yīng)用都可能觸發(fā)該漏洞。”不過Strazzere并沒有說明,究竟具體是哪些應(yīng)用受到影響,只是說包括一些“隱私敏感”工具。

  若無法升級系統(tǒng) 請更換手機(jī)

Forbes的這篇文章中并沒有詳述該漏洞的技術(shù)細(xì)節(jié),我們從Android安全公告中看到,谷歌對這個漏洞的歸類為“Mediaserver中的遠(yuǎn)程代碼執(zhí)行漏洞”,漏洞威脅等級為Critical緊急級別。漏洞描述如下:

“Mediaserver中的遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者通過專門構(gòu)建的文件,在媒體文件和數(shù)據(jù)處理過程中,可致內(nèi)存崩潰(corruption)。鑒于該問題可導(dǎo)致在Mediaserver進(jìn)程中進(jìn)行遠(yuǎn)程代碼執(zhí)行,故將漏洞分級為緊急級別。”

谷歌這次發(fā)布的Android系統(tǒng)9月補(bǔ)丁針對Android 4.4.4及更高版本的系統(tǒng)(已經(jīng)升級Android 7.0的設(shè)備似乎是不受影響的),不過據(jù)說更老版本的系統(tǒng)也存在這一問題,只不過谷歌已不再支持早期版本的系統(tǒng)更新。Strazzere特別針對Android 4.2以及部分亞馬遜Kindle平板設(shè)備進(jìn)行了試驗,發(fā)現(xiàn)也都存在此問題。

所以Strazzere的建議是,如果你的Android手機(jī)過老,已經(jīng)不能再進(jìn)行系統(tǒng)升級了,那么只要你還在意安全性,就請換一部手機(jī)吧。運(yùn)行Android 4.4.4系統(tǒng)以上版本的Nexus設(shè)備今天應(yīng)該就會收到一波更新,其他OEM廠商的Android設(shè)備就需要等廠商和運(yùn)營商的補(bǔ)丁推送計劃了。

根據(jù)Android系統(tǒng)BUG獎勵計劃,Strazzere獲得了谷歌4000美元的獎勵,不過據(jù)說谷歌還多獎勵了另外4000美元給他。而Strazzere則將這8000美元捐給了Girls Garage項目(為9-13歲的女孩準(zhǔn)備的building計劃)。

* FreeBuf官方報道,本文作者:歐陽洋蔥,轉(zhuǎn)載請注明來自FreeBuf.COM

關(guān)鍵字:Android谷歌圖片

本文摘自:FreeBuf.COM

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 文昌市| 曲沃县| 连南| 织金县| 滨州市| 微博| 苏尼特左旗| 铅山县| 张家川| 禄丰县| 仙桃市| 敦化市| 繁昌县| 乌兰浩特市| 尉氏县| 木里| 泰和县| 巩义市| 衡水市| 宁海县| 长顺县| 扶风县| 红桥区| 铁岭市| 团风县| 龙川县| 开化县| 梨树县| 泾阳县| 宁都县| 肃南| 连州市| 湖北省| 宁陕县| 察隅县| 若羌县| 顺义区| 东城区| 清原| 麟游县| 内江市|