据报道,Google Project Zero安全研究人员发现,一个Android 零日漏洞允许攻击者提权破坏设备目标。截至目前,至少有18个型号的手机受该漏洞影响,包括Google的Pixel 1和2、华为P20、小米的Redmi5A和A1、三星的S7、S8和S9等。
图片源于pixabay
据悉,研究人员对已更新补丁的Pixel 2进行代码审查时发现该漏洞,该漏洞源于Linux内核,修复补丁仅针对AOSP Android内核版本3.18、4.4和4.9,未被整合进 Android 的安全更新,大多数厂商制造和销售的Android设备未安装有补丁的内核,因此,即使已将设备更新至最新版本,用户仍易受到此漏洞的攻击。
图片源于pixabay
项目研究人员Maddie Stone表示,此漏洞被追踪为CVE-2019-2215,是Android内核绑定程序驱动程序中的“先用后用”漏洞,允许黑客提权获得设备的根访问权限,并接管目标设备。
据悉,利用该漏洞需要在易受攻击的系统上安装恶意应用程序,由于该漏洞是“可从Chrome沙箱内部访问的”,因此若漏洞利用是通过Web交付的,则只需将其与渲染器漏洞配对使用。
图片源于pixabay
安全研究人员称,该漏洞正被以色列安全软件公司NSO Group或其客户利用,而NSO Group代表则否认这一说法。
Google已承认该漏洞为严重漏洞,并将在10月发布补丁来修复该漏洞。此外,专家表示,由于此类漏洞利用大多仅限于针对性攻击,用户不必过于担心,仅需避免从第三方应用程序商店下载和安装不必要的应用程序。
来源:freebuf.com 2019-10-08 16:26:02 by: 厦门安胜网络科技有限公司
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册