谷歌为安卓系统发布月度例行更新修复多个高危安全漏洞

谷歌公司目前已经已经为安卓系统发布本月的例行安全更新,本次更新为框架和媒体组件修复多个高危漏洞。

尤其是高通芯片的无线网络组件被发现多个危急级别的漏洞,危急是谷歌漏洞等级排名比高危还要高的级别。

这些漏洞可造成远程代码执行因此极具危害性,对于用户们来说只能等高通和厂商共同发布补丁后才能修复。

谷歌为安卓系统发布月度例行更新修复多个高危级漏洞

谷歌应用商店保护程序缓解漏洞:

对于部分漏洞使用谷歌应用商店的保护组件可以对其缓解,该组件主要可以自动移除含有潜在危害的程序等。

正常情况下如果用户安装含有潜在危害的程序可被检测到,但是对于远程代码执行等类别漏洞是无法防御的。

所以最终还是要靠芯片制造商和设备制造商共同修复,然后发布安全补丁对漏洞进行修复才能彻底解决问题。

系统框架漏洞:

黑客可利用本漏洞制作特定的PAC文件然后远程执行任意代码,具体利用上会使用部分特权进程来执行代码。

当然在这里提醒有使用酸酸乳和其他代理习惯的用户,不要轻易使用网上来历不明的PAC文件防止潜在威胁。

PAC文件释义:代理自动配置技术即加载后浏览器预先检查PAC字符串进行匹配然后按照预设地址进行访问。

CVE参考类型等级AOSP版本
CVE-2018-9433A-38196219远程代码执行危急6.0~7.1.2
CVE-2018-9410A-77822336信息泄露8.0,8.1

媒体框架漏洞:

媒体框架是安卓系统组件中经常被发现安全漏洞的组件,所以每次谷歌发布月度例行更新时都会有它的身影。

本次媒体框架的危急漏洞同样是远程代码执行漏洞,攻击者可以制作特定的文件利用特权进程执行任意代码。

其中编号为CVE-2018-9412的漏洞可被用于发动DDoS流量攻击,这些漏洞均由谷歌公司负责发布补丁修复。

CVE参考类型等级AOSP版本
CVE-2018-9411A-79376389远程代码执行危急8.0,8.1
CVE-2018-9424A-76221123特权提升8.0,8.1
CVE-2018-9428A-74122779特权提升8.1
CVE-2018-9412A-78029004DDoS6.0~8.1
CVE-2018-9421A-77237570信息泄露6.0~8.1

系统级的安全漏洞:

本次系统级的安全漏洞最严重的同样是远程代码执行,攻击者制作特制文件利用特权进程远程执行任意代码。

当然最大的问题是这些漏洞是普遍性的,即从Android 6.0版开始到Android 8.1最新版本全部都会受到影响。

CVE参考类型级别AOSP版本
CVE-2018-9365A-74121126远程代码执行危急6.0~8.1
CVE-2018-9432A-73173182特权提升6.0~8.1
CVE-2018-9420A-77238656信息泄露6.0~8.1
CVE-2018-9419A-74121659信息泄露7.0~8.1

内核组件的漏洞:

本次内核组件的漏洞也可被用于执行任意代码,区别在于攻击者可利用本地恶意程序使用特权进程执行代码。

这些漏洞全部都是特权提升漏洞,因此用户们若启用谷歌应用商店保护组件的话应该可以缓解本地恶意程序。

当然谷歌应用程序保护组件只是能识别绝大多数恶意程序,对无法识别的恶意程序则不会执行自动删除操作。

CVE参考类型级别组件
CVE-2018-5703A-73543437特权提升IPV6堆栈
CVE-2018-9422A-74250718特权提升futex类
CVE-2018-9417A-74447444特权提升USB驱动程序
CVE-2018-6927A-76106267特权提升futex类

高通系列组件

高通系列组件的安全漏洞将由高通的安全团队负责修复,若修复完成发布补丁再交给厂商由厂商推送给用户。

这些漏洞最严重的还是远程代码执行问题,并且多个漏洞是位于无线网络组件中的,建议用户关注厂商更新。

CVE参考类型级别组件
CVE-2018-5872A-77528138 远程代码执行危急WLAN
CVE-2018-5855A-77527719 信息泄露WLAN
CVE-2017-13077A-78285557 信息泄露WLAN
CVE-2018-5873A-77528487 特权提升NSFS
CVE-2018-5838A-63146462特权提升OOpenGL ES驱动
CVE-2018-3586A-63165135远程代码执行ADSPRPC堆管理器
本文来源 Android Dev,由 山外的鸭子哥 整理编辑,其版权均为 Android Dev 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
哇哦恭喜您已成功屏蔽了蓝点网的小广告
扫码关注蓝点网微信公众号

发表评论