研究人员警告:Android 0-Day 漏洞开启了特权升级攻击的大门

0-day漏洞可能会导致权限升级,并且该漏洞不在Google的Android 9月安全更新范围内。

研究人员发出提示称谷歌Android操作系统存在高度严重的0-day漏洞,如果被利用,可能会使本地攻击者在目标设备上升级特权。

Android中的v4l2(Video4Linux 2)驱动程序中存在特定缺陷。据Zero Day Initiative(ZDI)的研究人员称,当被利用时,v4l2中的一个组件“在对对象执行操作之前不会验证对象的存在”。研究人员表示,对Android设备进行物理访问的攻击者可以利用该漏洞升级内核环境中的权限,这通常允许攻击者控制目标设备。

“攻击者必须首先获得在目标系统上执行低权限代码才能利用此漏洞的能力,”ZDI研究人员发现该漏洞并于周三公开披露该漏洞,该漏洞在CVSS评分中得分为7.8分,高严重性。

研究人员于2019年3月13日首次发现并报告了该漏洞。周三,公开发布相关警报。谷歌没有立即回应关于该漏洞未来补丁的评论请求。

根据ZDI的咨询报告,当ZDI首次联系Google关于漏洞时,“供应商确认漏洞将被修复,但没有提供预计的时间框架”。

“鉴于漏洞的性质,唯一突出的缓解策略是限制与服务的互动,”研究人员说。“只允许与服务具有合法程序关系的客户端和服务器与之通信。这可以通过多种方式实现,最明显的是防火墙规则/白名单。“

谷歌发布其9月Android安全公告,同时修复了Android操作系统媒体框架中的两个关键远程代码执行漏洞。0-day与公告分开披露,目前没有补丁。

Android安全更新

周二,谷歌发布了Android操作系统媒体框架中两个关键远程代码执行漏洞的修复程序。这些漏洞可能允许远程攻击者执行任意代码。

谷歌9月份的Android安全公告也报告说,它部署了13个关键和高严重性漏洞的修复程序。根据该公告,高通公司(其芯片用于Android设备)也修补了31个漏洞,而Nvidia修复了三个漏洞。

“Android安全公告包含有关影响Android设备的安全漏洞的详细信息。根据谷歌的周二公告,2019-09-05或更高版本的安全补丁级别解决了所有这些问题。“这些问题中最严重的是Media框架组件中的一个关键安全漏洞,它可以使远程攻击者使用特制文件在特权进程的上下文中执行任意代码。”

Android的媒体框架中存在两个关键缺陷(CVE-2019-2176,CVE-2019-2108)。该框架包括支持播放各种常见媒体类型,以便用户可以轻松利用音频,视频和图像。

谷歌表示,这些漏洞“可能使远程攻击者能够使用特制文件在特权进程的上下文中执行任意代码”。

谷歌还发布了其框架中五个高严重性漏洞的修复程序,包括四个特权错误提升(CVE-2019-2123,CVE-2019-2174,CVE-2019-2175,CVE-2019-9254)和一个信息泄露缺陷(CVE-2019年至2103年)。另外还修补了Android操作系统中的六个高严重性缺陷,包括远程代码执行漏洞(CVE-2019-2177),两个特权提示故障(CVE-2019-2115,CVE-2019-2178)和三个信息泄露缺陷(CVE-2019-2179,CVE-2019-2188,CVE-2019-2124)。

高通,Nvidia补丁

谷歌还修补了与高通和Nvidia组件相关的21个CVE,这些组件用于Android设备。

最严重的Qualcomm组件缺陷是闭源组件中的两个关键漏洞(CVE-2019-10533和CVE-2019-2258)。此外,还修补了Qualcomm的LK引导加载程序,音频,内核,图形驱动程序和WLAN HOST组件中的高严重性缺陷。

Nvidia组件中还修补了三个高严重性缺陷,包括BootROM组件中的两个特权缺陷(CVE-2018-6240,CVE-2018-6240)以及ARM可信固件(CVE-2017-)中的信息泄露故障。 5715)。

制造商更新

Android设备制造商推出自己的补丁,以便与Google安全公告同时或之后解决9月份的更新。

三星在安全警报中表示,它将发布主要旗舰型号的维护版本,作为每月安全维护版本(SMR)流程的一部分 – 包括谷歌的补丁。这包括Media Framework中的一个关键远程代码执行缺陷(CVE-2019-2176)以及Framework中的高严重性特权缺陷提升(CVE-2019-2123)。

并且,LG  在安全维护版本中表示:“LGE正在发布一系列补丁,作为Android安全公告月度发布流程的一部分。这些问题中最严重的是Media框架中的一个关键安全漏洞,它可以使远程攻击者使用特制文件在特权进程的上下文中执行任意代码。

在谷歌修复 Chrome浏览器中的高严重性漏洞一周后,补丁更新发布,这可能使远程攻击者能够执行代码并执行其他恶意攻击。今年8月,当腾讯刀片团队的安全研究人员警告Android智能手机和平板电脑用户使用高通芯片组时称为QualPwn时,谷歌也成为安全的焦点。这些错误共同使黑客能够通过无线方式发送恶意数据包来远程破坏Android设备 – 无需用户交互。

 

发表评论