Android为媒体处理,硬件驱动程序中的临界缺陷获取修补程序
AI是IOT时代安全战略的关键因素
澳大利亚呼吁在新网络议程中进行干预方法
赎金软件攻击对受害者的钱包进行了更大的收费
Oracle将注意力分析与Moat购买添加到其数据云中
研究人员通过黑客攻击脆弱的汽车加密狗来远离动车的发动机
OpenReach倍增全光纤宽带推出
戴尔在PC上取Intel的提示,将企业放在议程之上
亚马逊成为第二家公开交易公司,达到$ 1TN市场上限
Facebook更新工作场所,因为企业合作再次变热
加密敏捷是后量子安全的关键
在采矿用户数据中,美国ISP必须权衡现金与隐私
早期炒作后,智能手表慢慢地出现企业用途
与较小的企业相比,大型组织对云安全性不太自信
网络攻击者越来越多地利用RDP,警告FBI
Comcast Business提供直接连接IBM云网络
政府表示,数据有可能提高英国经济和生产力的潜力
Apple称气候变化“不可否认,”绿色和平地说修理问题
三个即将到来的政府服务使用Gov.uk验证
供应链攻击击中手刹视频转换器应用程序的Mac用户
AI提供了对严重的眼部条件进行立即诊断,研究发现
YouTube电视在这里 - 但这是人们想要的东西吗?
议程上的公平贸易软件,但荷兰企业尚未准备购买它
DWP IT首席Carank Prakash退出政府外部新工作
配对Galaxy S8与Microsoft Apps视为商业客户的好处
洛杉矶在灯光上测试枪声传感器
Aiops杀死了它的支持之星
Dixons Carphone UPS数据泄露图为1000万
微软推出了一个星期延迟的关键闪存播放器补丁
英特尔的PC首席谈判约5G,芯片设计的变化
诺基亚,Sprint展示了一个巨大的MIMO天线来提升细胞服务
Apple获取自动化应用程序工作流程 - 但它的计划是什么?
在Linux内核中发现并修补了11岁的根缺陷
据报道,抓住一个无人机 - 以史诗般的自拍呢?
5G即将到来,但没有被带走,T-Mobile USA的CTO说
为什么Pintereses最终针对视力受损的特征
英特尔尚未使用x86智能手机芯片完成
谷歌在电子邮件加密工具上转移,留下其命运不清楚
此iPhone案例实际上是Android手机
16个月后,YouTube音乐仍然是一个错过的机会
所有急性NHS现在都在英格兰使用电子推荐信任英格兰
Ignite 2018的Microsoft Azure的新云存储服务
Equifax被ICO罚款,用于安全失败
Samsung Mulls在智能手机上扫描仪器以登录Windows PC
谷歌镀铬缺陷将隐私危险
超越智能手机,三星希望其Exynos 9芯片在VR耳机中
BFI在PB级数字化项目中部署Spectralogic磁带
尽管5G,LTE甚至从现在开始五年
Facebook确认对Messenger的不喜欢表情符号
2018/19年BEIS研发预算近8亿英镑
您的位置:首页 >产品 > 电子产品 >

Android为媒体处理,硬件驱动程序中的临界缺陷获取修补程序

2021-08-13 09:44:05 [来源]:

Android正在获得100多个漏洞的安全修复,包括媒体处理服务器,硬件特定驱动程序和其他组件中的29个关键缺陷。

Android“星期一发布的月度安全公告”被分成了两个“补丁级别”,它在Android设备的“关于”页面上表示为日期字符串。

2017-05-01安全补丁级别涵盖了所有Android设备常见的漏洞修复,而2017-05-05级别涵盖仅在某些设备中存在的硬件驱动程序和内核组件的额外修复。

本月的更新在MediaServer中修补了六种关键漏洞,一个处理图像和视频文件处理的Android组件。这一组成部分是过去几年的许多缺陷的来源,是在每月Android安全公告中定期存在。

MediaServer漏洞可以通过欺骗用户在其设备上下载特殊制作的媒体文件,或通过电子邮件或其他一些消息传递应用程序共享此类文件。它甚至不是必要的用户打开文件,因为它仅仅在文件系统上的存在将导致MediaServer处理它。

通过利用此类缺陷,攻击者可以在MediaServer进程的上下文中实现远程代码执行,与常规应用程序相比具有特殊权限。在某些设备上,它甚至可以完全妥协所有数据。

MediaServer漏洞可以理论上可以通过多媒体消息(MMS)来利用,这就是谷歌禁用默认的Android短信应用程序和Google Hoogouss中这些消息的自动显示的原因。但是,第三方应用程序仍可能会接触到此攻击载体。

除了六个临界缺陷的补丁外,2017-05-01补丁级别还包括八个高风险漏洞的修复,五个中等严重性缺陷和低严重性问题。其中一些漏洞也位于MediaServer组件中。

基于Android文件的加密实现中的另一个有趣漏洞可能允许攻击者绕过锁屏。如果留下未被咬合,这种中等风险漏洞可以允许盗贼或执法权限,并对受保护设备进行物理访问,以从中提取数据。

2017-05-05安全补丁还包含用于远程利用漏洞的修复,该漏洞与媒体处理相关。该漏洞位于Giflib,一个库,该库是由OS用于读取和写入GIF格式图像的操作系统。

Giflib缺陷是至关重要的,但其包含在第二个补丁级别中的包含可能不会影响所有设备。

此补丁级别所涵盖的其他关键漏洞位于Mediatek触摸屏驱动程序,Qualcomm和摩托罗拉引导程序,NVIDIA视频驱动程序,Qualcomm Power驱动程序,内核声音和跟踪子系统以及各种其他高Qualcomm组件中。

这些漏洞可以通过恶意应用程序利用,以在内核内执行任意代码 - 操作系统最特权的区域 - 导致设备的完整和永久性妥协。从此类攻击中恢复需要将其刷新受影响设备上的固件。

许多高度和中等的严重性漏洞都在其他硬件组件和内核子系统中修复。对于其中一些,修复程序仅包含在芯片组制造商与设备制造商共享并且不公开的二进制文件中。

事实上,在过去几年中,本公告中包含的一些缺陷已被芯片组供应商发布的补丁所涵盖。但是,谷歌决定现在将它们包含在其自动公告中,以便将其修复与Android安全补丁级别联系起来。

Google仅向其支持的Nexus和Pixel设备发布固件更新,然后使相关修补程序可用于Android开源项目(AOSP) - 该代码作为设备制造商生产的固件的基础。用户应该为其制造商寻找其特定设备的固件更新。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。