【Samsung Galaxy手機驚現嚴重安全漏洞 持續6年才被修復】日前,據媒體報導,Samsung發佈每月安全更新,2014年底開始銷售的智能手機存在一個「perfect 10」關鍵安全漏洞,一經利用,可啟用任意遠程代碼。報導稱,Samsung於2014年年末為所有自家手機加入了對Qmage圖像格式(。qmg)的支援,而Samsung的定製Android系統在處理Qmage上存在漏洞。

Google「零號項目」安全研究員Mateusz Jurczyk發現了一種利用Skia (Android圖形庫)處理髮送到設備的Qmage圖像的方法。Jurczyk表示,Qmage錯誤可以在零點擊的情況下利用,而無需用戶進行操作。通過向Samsung設備重複發送女生S信息,每條消息都試圖猜測Skia庫在Android手機內存中的位置,這是繞過Android的ASLR(地址空間配置隨機加載)保護的必要操作。

攻擊者通常需要100分鍾左右的時間,發送50到300條彩信來探測和繞過ASLR。一旦Skia庫在內存中的位置被確定,最後一條彩信就會傳遞出實際的Qmage有效載荷,然後在設備上執行攻擊者的代碼。雖然這種攻擊看起來可能很密集,但也可以在修改後以不提醒用戶的情況下執行。Samsung在5月的安全更新中對此進行了修復。

LINE it!
╰( ◕ ᗜ ◕ )╯ 快點加入微博粉絲團!
回頁頂