导读 9月4日,在线发布了关于影响Android移动中考语文作文操作系统的零日漏洞的详细信息。该漏洞存在于Android OS附带的Video for Linux(V4L2)驱动程
9月4日,在线发布了关于影响Android移动操作系统的零日漏洞的详细信息。
该漏洞存在于Androi若夫日出而林霏开d OS附带的Video for Linux(V4L2)驱动程序处理输入数据的方式。
向驱动程序提供恶意输入可以允许攻击者将其访问权限从低级用户提升为root用户访问权限。
好消息是,这个漏理工科洞 – 被归类为特权升级问题 – 无法远程利用。攻击者需要本地访问权限,这意味着他们需要预先在设备上植入恶意代码。
这个零日不能用于打入用户的手机,但它可以用来使黑客攻击更糟糕,允许攻击者完全控制设备,发布初始感染。
零日可以很容易地武器化
这种零日可以派上用场的一种情况是,恶意软件作者将其捆绑在通过官方Play商店或第三方应用商店分发的恶意应用中。
用户安装其中一个恶浙江单独二胎细则意应用程序后,零日可以授予恶意应用程序root访问权限,然后应用程序可以执行所需的任何操作 – 窃取用户数据,下载其他应用程序等。
这就是Android设备上通常使用所有权限提升错误的方法。
一些安全专家可能会淡化这个零日的重要性 – 它尚未获得CVE编号 – 但是权限升级漏洞很容易在Android生态系统上进行武器化,这与其他大多数操作系统不同。不被视为优先事项。
例如,如今,许多恶意Android应用程序与Dirty COW权限提升漏洞捆绑在一起,使应用程序可以在较旧的Android智能手机上获得root访问权限。
ANDROID开发者已收到通知,但未能提供补丁
然而,尽管恶意应用程序滥用权限升级错误以获得root访问权限的历史,Android开源项目(AOSP)的维护人员还没有修补此问题。
自从两位趋势科技安全研究人员发现这个问题后,他们在今年3月首次向AOSP报告了这个问题。尽管承认错误报告并承诺修补程序,修复程序从未到来。
昨天,趋势科技的研究顾兔人员在谷歌发布了2019年9月的Android安全公告后公布了他们的调查结果,该公告没有修复他们的漏洞。
目前,没有简单的解决方案来阻止恶意应用程序利用此问题。
本文发布于:2023-03-29 19:24:13,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/73dbb194edc0a06476fff1c6210ee992.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:Android项目维护人员在初次报告后六个月未能修复危险的权限.doc
本文 PDF 下载地址:Android项目维护人员在初次报告后六个月未能修复危险的权限.pdf
留言与评论(共有 0 条评论) |