谷歌為Nexus智能手機和平板電腦發(fā)行了一批新型安全補丁,解決了通過惡性郵件、網(wǎng)頁和彩信入侵安卓設(shè)備的漏洞，

谷歌發(fā)布安卓上的關(guān)鍵媒體進程以及root漏洞補丁

    谷歌在安全公告中表示: 固件更新系統(tǒng)會應用無線更新推廣于支持Nexus設(shè)備,并且在接下來的48小時把補丁添加到安卓開放源代碼項目(AOSP)。安全修復級別中包含的修復系統(tǒng),例如LMY48Z或安卓棉花糖,會在2015年12月1日前建立。

    這些更新系統(tǒng)修復了五個關(guān)鍵漏洞、十二個高級漏洞和兩個中級漏洞。在一些操作系統(tǒng)媒體處理組件中,也就是處理音頻視頻回放和相應的元數(shù)據(jù)解析文件,又一次發(fā)現(xiàn)了相當數(shù)量的缺陷漏洞。

    在操作系統(tǒng)的核心——媒體服務器中發(fā)現(xiàn)了一種嚴重的漏洞補丁。這種漏洞可以越權(quán)應用于執(zhí)行不屬于第三方應用的任意代碼。用戶在瀏覽器中使用特殊制作的媒體文件時,攻擊者就可以通過欺詐手段或發(fā)送彩信來遠程利用此種漏洞。

    應該指出的是,在安卓默認的消息應用程序中,比如環(huán)聊或信使,接收到的多媒體信息無法自動解析，

電腦資料

    其他三個可以通過郵件、網(wǎng)頁瀏覽或彩信執(zhí)行遠程代碼的媒體處理漏洞,也在Skia制圖引擎和媒體服務器下載的用戶模式驅(qū)動程序中得到修補。

    最后被修補的漏洞是一個在安卓核心中特權(quán)升級的漏洞。它可以潛地允許惡性應用程序root執(zhí)行代碼,也就是系統(tǒng)中的最高權(quán)限。

    這樣的缺陷可以讓某些狂熱者用來完全控制設(shè)備,就是所謂的安卓root。但是在一些惡意攻擊者手中,這樣的缺陷會導致徹底而持久的入侵。并且,只有在操作系統(tǒng)執(zhí)行更新時才會修復。

    附加的權(quán)限升級缺陷在其他組件中也得到修復,但是它們不允許root,因此只被定為高級漏洞。即便如此,它們也可以給惡性應用程序發(fā)送本不應有的危險許可。

    如果設(shè)備制造商提供了最新版本,谷歌建議安卓舊版用戶更新到最新版本,。因為新版安卓適當?shù)靥岣吡税踩�性來阻礙或制止漏洞的利用。

    谷歌安全團隊也運用了Verify Apps和SafetyNet 這樣的設(shè)置來監(jiān)測預防潛在的危險應用程序。例如,谷歌市場(Google Play)就不接受用權(quán)限升級缺陷root設(shè)備的應用程序,Verify Apps也會默認阻止root可知的應用程序。