银行贷款

澳门永久娱乐网站

字号+作者: 来源:大学生澳门永久娱乐网站网 2019-09-11 13:19:36 我要评论() 收藏成功收藏本文

9月4日,研究人员在网上宣布了一个影响Android移动操作系统的0天漏洞。该漏洞存在于视频forlinux(v4l2)驱动程序文件中,Android操作系统使

9月4日,研究人员在网上宣布了一个影响Android移动操作系统的0天漏洞。

该漏洞存在于视频forlinux(v4l2)驱动程序文件中,Android操作系统使用该文件处理输入数据。输入恶意输入后,攻击者可以使用v4l2驱动程序文件从低权限用户升级到根权限。然而,为了利用此漏洞,攻击者首先需要获得在目标系统上执行低权限代码的能力。虽然无法使用0day漏洞破坏用户的电话,但它允许攻击者在初始感染后完全控制用户的移动设备。

武器化很容易。

Oday漏洞的一个攻击场景是,它被绑定到其他恶意应用程序上,通过官方应用程序商店或第三方应用程序存储进行分发和传播。在用户安装恶意应用程序之后,0day漏洞可以授予恶意审批权限,然后应用程序可以任意操作,例如窃取用户数据、下载其他应用程序等等。这是Android设备上权限升级漏洞的常见利用场景。

由于该漏洞尚未被分配给CVE编号,一些安全研究人员可能不知道0day漏洞的重要性,但在Android生态系统中,权限升级漏洞很容易被武器化。例如,许多恶意应用程序,加上脏车权限升级漏洞,都利用旧版本手机的根权限。

漏洞尚未修复

该漏洞早在2019年3月就提交给了谷歌,但6个月后,谷歌发布的2019年9月谷歌安全声明中仍没有针对该漏洞的补丁。目前,还没有解决方案来防止恶意应用程序利用该漏洞。鉴于该漏洞的性质,唯一可行的选择是限制与该服务的交互。只有与该服务有合法关系的客户和服务器才能进行通信。

最近更新
热门点击