谷歌安卓 RCE 漏洞可导致攻击者完全访问设备
谷歌修复了安卓操作系统中的一个漏洞,它可导致攻击者完全控制用户设备,从而以完整权限安装程序、窃取或更改数据或创建新账户。
最严重漏洞 CVE-2020-0103
本周一,谷歌公布安全公告修复了39个漏洞,它们均影响使用老旧安全配置的安卓 OS 版本,且传播于多个安卓组件中。
谷歌表示,这些漏洞为客户、企业和政府用户带来较高风险。不过其中最严重的漏洞是存在于安卓系统组件中的一个漏洞 (CVE-2020-0103),它可根据设备上的现有权限造成远程代码执行后果。谷歌指出,它可“导致远程攻击者使用特殊构造的传输在权限进程上下文中执行任意代码”。不过,互联网安全中心 (CIS)安全公告指出,利用的可能性取决于某应用程序的权限内状态,“如将应用程序配置为在系统上具有更少的用户权限,那么利用其中最严重漏洞造成的影响要比配置为管理员权限的情况造成的影响小。”
CIS 解释称,这些漏洞可遭多种方法利用,如通过邮件以及处理媒体文件时的网络浏览和多媒体服务 (MMS) 。该严重漏洞是谷歌在安卓系统组件中修复的8个漏洞之一。其余缺陷除一个为中危级别外均为高危级别。
其余两个严重漏洞
谷歌还修复了安卓 Framework 组件中的一个严重漏洞 CVE-2020-0096,它可导致本地攻击者在权限进程上下文中执行任意代码。该漏洞是该组件修复的三个漏洞之一,其余两个漏洞的等级为高危。
谷歌修复的最后一个严重漏洞是 CVE-2020-3641,它存在于高通闭源组件中。该缺陷是组件中修复的10个缺陷之一,其余均为高危漏洞。
谷歌还修复了安卓 Media 框架中的4个高危漏洞;修复了高通组件中的8个高危漏洞;联发科组件中的4个高危漏洞以及安卓 Kernel 组件中的2个高危漏洞。
虽然安卓安全平台和服务防护措施如 Google Play Protect “降低了安全漏洞可被用于成功攻击安卓的可能性”,但谷歌建议安卓用户安装最新的安全补丁以确保安全。
确实很,谷歌历来都跟通过 Google Play 商店下载的安卓应用传播恶意软件进行斗争,并在一年半以来继续努力以保持战斗力。然而,恶意软件仍然横行 Google Play 平台上。就在上周,研究人员发现了一款安卓恶意软件 EventBot,从流行的金融应用如PayPal、Barclays、Capital One 等中窃取至数据。
https://threatpost.com/google-android-rce-bug-full-device-access/155460/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。