安全加

beta

推荐

安全头条

安全知识

登录注册
首页>安全头条>

你的Android系统该更新了 谷歌修补了57个Andorid高危漏洞

Android高危漏洞 Android漏洞 CVE-2018-9341

谷歌在周一修补了57个Andorid漏洞,其中包括两个高危的远程代码执行漏洞,都与Andorid媒体框架有关,各手机厂商先后提供补丁。谷歌表示,Pixel和Nexus设备将于周一开始接受无线更新。大约需要一周半的时间才能将更新发送到所有的Nexus设备。

Google星期一修补了57个漏洞,影响与第三方公司联发科技,NVIDIA和高通有关的Android操作系统以及内核和芯片组组件。其中11个漏洞是高危风险。

具体受影响的版本请参考Android在6月份的安全公告

https://source.android.com/security/bulletin/2018-06-01

谷歌表示,最严重的漏洞是Android媒体框架中的远程代码执行错误(CVE-2018-9341,CVE-2018-5146和CVE-2017-13230)“,这可能使远程攻击者可以使用特制文件在特权进程的上下文中执行任意代码。“

CVE 参考 类型 严重 更新了AOSP版本
CVE-2018-9341 A-74016277 RCE Critical 6.0,6.0.1,7.0,7.1.1,7.1.2,8.0,8.1
CVE-2018-5146 A-77284393 * RCE Critical 6.0,6.0.1,7.0,7.1.1,7.1.2,8.0,8.1
CVE-2017-13230 A-65483665 RCE Critical 6

其中一个远程代码执行漏洞(CVE-2018-5146)与Android媒体框架中使用的开源Ogg Vorbis音频编解码器有关。该漏洞是在媒体框架正在处理Vorbis音频数据时发生的超出范围的内存写入漏洞。它于3月16日在红帽高级产品安全工程师Huzaifa Sidhpurwala的Pwn2Own黑客大赛上首次公开发布。据Rapid7称,这个漏洞也影响了Mozilla Firefox和Thunderbird邮件客户端的版本。

第二个远程代码执行漏洞( CVE-2017-13230 )是Android媒体框架中使用的高效视频编码(H.265)视频压缩标准的一个越界写入漏洞。该漏洞于2月2日首次公开,并于2月5日作为谷歌 2月份Android安全公告的 一部分进行了修补。当时,它被评为中等严重性。

根据CVE 的 国家漏洞数据库描述

“在hevc编解码器中,由于使用i2_pic_width_in_luma_samples值进行了不正确的边界检查,所以出现了越界写入。这可能导致特权的远程升级,而不需要额外的执行权限,“。

谷歌和MITRE没有提供关于第三个远程代码漏洞(CVE-2018-9341)的任何细节。

MediaTek芯片组的一个关键缺陷也被修补了。该漏洞是缓冲区溢出情况的一部分,可能由Android的trustlet中的对手触发(可信进程或IUM进程)。 三星在其公告 中称:

“缺乏对trustlet中缓冲区的边界检查可能导致内存损坏。”

高通芯片组中的四个关键缺陷也得到了修补。两个(CVE-2017-18158,CVE-2018-5854)与组件的Bootloader有关; 一个(CVE-2018-3569)绑定到WLAN主机; 第四个与“硬件编解码器”(CVE-2017-18155)中的问题有关。

谷歌表示,Pixel和Nexus设备将于周一开始接受无线更新。大约需要一周半的时间才能将更新发送到所有的Nexus设备。三星,LG和其他厂商通常会通过Google更新合格设备,每月都会这样做。一些供应商同时也不提供所有可用的补丁。例如,三星表示,“某些芯片组供应商提供的补丁(也称为设备特定补丁)可能不包括在本月的安全更新包中。一旦补丁准备就绪,它们将会包含在即将发布的安全更新包中。“通常,补丁程序首先需要在目标设备上进行测试,以确保补丁程序兼容。

文章附件

文章无附件

*文章为作者独立观点,不代表安全加立场

本文由:安全加发布,版权归属于原作者。 如果转载,请注明出处及本文链接:

如果此文章侵权,请留言,我们进行删除。

作者

您可能对以下关键词感兴趣哟,请用鼠标滑过或点击关键词 :

相关文章

无相关文章
无相关文章

参与讨论

0/300 发表评论
当前无评论

快速注册

请填写正确的邮箱格式,不能为空
请填写验证码
密码应为数字、字母、英文标点符号,长度为6-14位
两次密码不统一
立即注册

已有账号?

登录忘记密码

快速登录

手机号或邮箱不存在
密码错误请重新输入
立即登录

还没有账号?

注册忘记密码
© 2018 安全加 社区. All Rights Reserved.