中国网络消费网 >  手机通讯 > > 正文
最近更新修复三星手机中的高危漏洞
时间:2020-05-07 14:49:16

据ZDNET报道,三星本周发布最新的安全更新以修复自2014年以来一直影响着所有在售三星智能手机的严重漏洞。

IT之家了解到,三星于2014年年末为所有自家手机加入了对Qmage图像格式(.qmg)的支持,而三星的定制Android系统在处理该图像格式上存在漏洞:Google的“零号项目”漏洞搜寻小组的安全研究员Mateusz Jurczyk发现了一种利用Skia(Android图形库)如何处理发送到设备的Qmage图像的方法。

Jurczyk说,Qmage错误可以在零点击的情况下可被利用且无需任何用户交互。发生这种情况是因为Android将所有发送到设备的图像重定向发送到了Skia库以在用户不知情的情况下进行处理(例如生成缩略图预览)。Jurczyk称其通过向三星设备发送重复的MMS(多媒体SMS)消息进而利用了此漏洞。每条消息都试图猜测Skia库在Android手机内存中的位置,这是绕过Android的ASLR(地址空间布局随机化)保护的一项必要操作。

Jurczyk说,一旦Skia库位于内存中,最后一个MMS就会传递实际的Qmage有效负载,然后设备即可被执行攻击者的代码。

谷歌研究人员说,攻击通常需要50到300条MMS消息来探测和绕过ASLR,这通常平均需要100分钟左右。此外Jurczyk称该项攻击可被修改为执行而不会提醒用户,通过MMS和Samsung Messages应用程序以外的其他方法来利用Qmage错误对设备进行攻击的方法从理论上讲是可行的。

目前三星在2020年5月的安全更新中修复了该Bug。该漏洞在Samsung安全公告中被命名为SVE-2020-16747,在Mitre CVE数据库中被命名为CVE-2020-8899。

版权声明:
    凡注明来中国网络消费网的作品,版权均属中国网络消费网所有,未经授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明"来源:中国网络消费网"。违反上述声明者,本网将追究其相关法律责任。
    除来源署名为中国网络消费网稿件外,其他所转载内容之原创性、真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考并自行核实。

网站首页 |网站简介 | 关于我们 | 广告业务 | 投稿信箱
 

Copyright © 2000-2020 www.sosol.com.cn All Rights Reserved.
 

中国网络消费网 版权所有 未经书面授权 不得复制或建立镜像
 

联系邮箱:9 070017 99@qq.com