信息來源:hackernews
Google 4 月 1 日發(fā)布安全公告,修補(bǔ)了多項(xiàng) Android 高危漏洞。
包括 Samsung、Pixel 與 LG 等在內(nèi)的主要安卓廠商已在公告發(fā)布至少一個月前就接到問題通報。而在公告發(fā)布后的 48 小時內(nèi),Google 也會將安全補(bǔ)丁的源代碼發(fā)布至 Android 開源項(xiàng)目(Android Open Source Project , AOSP)存儲庫。
其中,存在最高等級風(fēng)險的是位于媒體框架(media framwork)中的一個嚴(yán)重安全漏洞,它可以使攻擊者傳送更改后的文件,從而在擁有權(quán)限的情況下遠(yuǎn)程執(zhí)行任意代碼。CVE-2019-2027 和 CVE-2019-2028 都包含在這一媒體框架內(nèi)。
CVE-2019-2026 所在的 Android 框架中的部分漏洞可以使本地攻擊者通過用戶交互獲得額外權(quán)限。其余幾項(xiàng)位于運(yùn)行系統(tǒng)中,其中嚴(yán)重的漏洞可能會使本地惡意應(yīng)用程序取得權(quán)限,執(zhí)行任意代碼。
目前,2019-04-01 或更高版本的安全修補(bǔ)程序級別已解決了相關(guān)問題。Google 預(yù)計(jì)于 4 月 5 日發(fā)布第二波安全補(bǔ)丁,以解決所有與之相關(guān)的問題。用戶可參閱檢查并更新 Android 版本,以檢查設(shè)備的安全補(bǔ)丁級別。