谷歌修复了11个Android RCE 高危漏洞

2018-12-08 13:31:36 0 1838

据报道,在12月份,谷歌修补了53个高危安全漏洞,包括11个RCE漏洞、9个提权漏洞,其中24个与高通有关。LG和三星也都公布了高危安全漏洞,并推出了安全补丁。




12月,谷歌的Android安全公告表示,他们解决了53个高危安全漏洞,引人注目的是RCE漏洞占主导地位。这11个严重的RCE漏洞是Android安全团队修补的53个漏洞中的一部分,其中6个是与操作系统的媒体框架和系统组件相关的RCE漏洞。

根据谷歌的说法,没有这些漏洞在野利用的消息。谷歌的Pixel和Nexus设备、三星、LG、HTC等Android旗舰手机等需要打上安全补丁。根据公告,无线更新将发送到谷歌手机,其他设备制造商和移动运营商的更新时间将有所不同。

作为软硬件中转角色的Android媒体框架,受到了漏洞冲击。四个RCE漏洞(CVE-2018-9549,CVE-2018-9550,CVE-2018-9551,CVE-2018-9552)影响了Android7.0到安卓9。

Android安全团队周一发布最严重的漏洞是RCE漏洞,“远程攻击者可使用特制文件在特权进程的环境中执行任意代码。”不过,目前还不能获取到CVE的其他关键信息。

总共有42个CVE安全危害程度较高,其中9个与特权升级(EoP)bug相关联。其中有一个EoP bug (CVE-2018-10840)与Android内核组件(ext4文件系统)有关。

“Linux内核容易受到fs/ext4/xattr.c:ext4_xattr_set_entry()函数造成的堆缓冲区溢出的影响。根据Red Hat Bugzilla报告,攻击者可以通过操作已安装的ext4 image来利用此漏洞“,这个漏洞最初由Sam Fowler在5月报道,并在本月公开披露并修补。


被列为严重程度较高的漏洞中,有24个与高通有关。关于高通的漏洞,只有有限的信息。

设备制造商LG也发布了LG的12月安全公告,并列出了自己的三个高严重性漏洞,包括短信漏洞、紧急通话触发的GPS漏洞、GPS使用漏洞(仅限MTK芯片组)。

与此同时,三星表示,在12月三星移动更新了包括谷歌Android更新在内的40个漏洞。虽然提供的数据有限,但还是可以知道有两个漏洞与8895芯片组上运行的ARM Exynos系统架构(9810系列)有关。一个是堆栈溢出漏洞,可能允许任意代码执行。第二个是堆溢出,可导致内存问题的漏洞。”

关于作者

D_D952761篇文章465篇回复

评论0次

要评论?请先  登录  或  注册