Android系统上安全问题,代码缺陷!
作者:未知 来源:绿软联盟 发布时间:2015-8-14 8:36:28
文章正文
Android安全困境在周四变得更糟,有两个独立的代码缺陷把数以百万计的最终用户的风险报告。
第一个涉及到谷歌更新上周发布修复一个漏洞,允许攻击者在大约9.5亿手机,无非就是一个恶意制作的短信执行恶意代码。七天后,安全研究人员报告说,该补丁,自四月份以来这一直是谷歌的身上,是如此有缺陷,攻击者可以无论如何利用此漏洞。
“补丁是4行代码是(大概)由发货之前谷歌工程师审查,”乔丹Gruskovnjak和亚伦波特诺伊,谁是研究人员与保安公司出埃及记智力,写在周四发表博客文章。 “一般公众认为当前的补丁保护它们时,它实际上没有。”
该代码执行漏洞是Stagefright,一个代码库,视频处理缓冲区溢出漏洞的结果。上周的补丁,这是提交谁发现了漏洞,并秘密报告给谷歌在四月,关闭了一些但不是所有的攻击研究员。具体来说,诱杀的MP4视频,提供的变量有64位长度能够溢出缓冲区和饲料恶意代码的Android到内存中。通常情况下,MP4影片,32位可变长度的工作,但出埃及研究人员发现罕见的情况下,64位长度可以使用。
缓冲器充当被指定存放数据的特定量的容器中。当指定的大小被超过,内容可以被执行。较新的Android版本中有一个称为地址空间布局随机化,使得溢出攻击更难开展了安全措施。防守的工作方式是随机化的恶意代码被加载到存储器位置,以防止攻击代码从能够调用它。其结果是,设备仅会崩溃,而不是执行该代码。该漏洞的缓解,但是,通常可以采用更先进的黑客技术绕过。
另外,研究人员从安全厂商水利部实验室披露的一个漏洞,它允许恶意应用程序,以摆脱Android的安全沙箱中。沙箱是一个关键的Android防御隔离的密码和从由安装在手机的任何其他应用程序的被访问属于一个应用程序的其它敏感数据。这个错误,它驻留在Android应用程序管理员在com.google.android.apps.enterprise.cpanel,允许设备上的其他应用程序来绕过这些限制通过使用符号连接读取任意文件。
文章来自绿盟(xDowns.com)转载请注明来路。
上一篇文章:苹果发布OS X10.10.5优化邮件,照片,和QuickTime漏洞 []