快捷搜索:

互联网知识

当前位置:betway必威官网手机版 > 互联网知识 > betway必威官网手机版:Android藏重大漏洞,Google修

betway必威官网手机版:Android藏重大漏洞,Google修

来源:http://www.abirdfarm.com 作者:betway必威官网手机版 时间:2019-10-05 00:31

Google在今年2月发布的Android安全更新中,修补了3个涉及PNG文件的重大漏洞,相关漏洞允许黑客在PNG中植入恶意程序,用户只要点击PNG图片就能触发漏洞,而惹来远程程序攻击。

Google发布安全公告,修补了包括2项远端程序码执行(remote code execution,RCE)等在内11项高风险与重大漏洞。

你的Chrome升级到最新的72版没?如果没有最好快点,因为安全公司揭露从Android 4.4版以来的Chrome就存在的漏洞,可能让黑客窃取Android手机用户上网纪录、登入信息等重要资料。

betway必威官网手机版 1

betway必威官网手机版 2

据最新报道,近一周的时间里,谷歌的团队一直在尝试挑战“Android的安全界限”,它们想知道自己能否通过一定的手段,在不和用户交流的前提下,远程获取到用户的通讯录、照片和信息;寻找那些从Google Play下载的,但却未经用户允许的app;还有那些可以逃过检测直接安装到手机中的攻击软件。

Google 4月1日发布的安全修补程序中,CVE-2019-2027及CVE-2019-2028的漏洞位于Android媒体框架(Media framework),可让攻击者传送变造过的档案,进而在有权限情况下从远端执行任意代码,被Google研究人员列为重大风险等级。

这项漏洞是由俄国资安业者Positive Technologies研究员Sergey Toshin在今年一月发现并已通报Google。Google已在一月释出修补该漏洞的Chrome 72.0.3626.81版,但当时Google只是轻描淡写为"浏览器中政策执行不足"。

0x00 漏洞简评

虽然计算机经过了这么多年的发展,但至今仍构筑在最初的冯氏体系上。因而很自然的,CPU 就成了提升速度的关键瓶颈,除了依赖早期摩尔定律那样的集成电路技术外,性能优化也是其中重要的一环。

而谈及计算机性能优化就不得不提 Cache 机制,此次的 CPU 漏洞简言之就是没处理好 Cache(广义)未命中的情况,借助侧信道攻击可导致信息的泄露,从而使得原有内核态与用户态隔离、进程间隔离的保护机制能被轻易绕过。

随着 CPU 漏洞事件的不断发酵,更多技术细节也开始浮出水面,最新研究表明自 95 年后生产的现代 CPU 都可能存在这些问题。

对无打算更换 CPU 的普通用户来说应该及时更新补丁,性能上必然会受影响,但还不至于太显著。当然,这次事件也给出了一个漏洞挖掘的好思路,芯片安全应该引起我们更多的关注。

PNG文件的全名为Portable Network Graphics,为一专为网络传输所设计的文件格式,并准备用来取代GIF。

betway必威官网手机版 3

betway必威官网手机版 4

这项编号为CVE-2019-5765的漏洞是位在Android 4.4版本以后的Chromium引擎中,后者是Android的WebView一项元件,允许网页在Android app内显示网页。所有使用Chromium为核心的行动版浏览器,包括Google Chrome、Samsung Internet Browser、Yandex Browser都会受到影响。

0x01 概述

Google Project Zero 公布的 Meltdown(CVE-2017-5754)与 Specter(CVE-2017-5753、CVE-2017-5715)两组漏洞几乎影响所有的主流 CPU,其中就包括了 AMD、ARM 和 Intel。

betway必威官网手机版:Android藏重大漏洞,Google修补Android系统11项重大及高风险安全漏洞。同时,云端设备、PC、笔记本、平板和智能手机都受到了波及,恶意者可利用这些漏洞来窃取计算机上的敏感数据。

两组漏洞都源于 “推演执行(speculative execution)” 的特性。为了提高性能,CPU 会基于假设推演来预先选择待执行的分支,之后在程序执行期间,如果推演是有效的,那么照此继续执行,如果无效则根据实际情况选择正确的路径执行。

对恶意者来说,可以借助侧信道攻击使 CPU 在推演无效时仍继续执行,从而导致信息的泄露。

根据Google的说明,本次更新最严重的安全漏洞藏匿在框架(Framework)中,允许远程黑客通过特定的PNG文件,在特权流程中执行任意程序,包括CVE- 2019-1986、CVE-2019-1987及CVE-2019-1988,波及从Android 7.0到Android 9的各种Android版本。

betway必威官网手机版:Android藏重大漏洞,Google修补Android系统11项重大及高风险安全漏洞。谷歌的Project Zero团队用了一周的时间来检查三星Galaxy S6 Edge所用的Android系统,挑战了Android系统中最容易受到攻击的安全边界,目的是看他们是否能够在无需用户参与的情况下远程获取用户的联系人、照片和短信等资料;另外,零点项目团队还利用Google Play安装的一款不需要用户授权的应用去尝试攻击Android系统;最后还对恢复出厂设置但仍然存在安全漏洞的设备进行了攻击。

Google团队另外还修补了9项高风险漏洞,包括6项权限升级(elevation of privilege)漏洞。其中CVE-2019-2026位于Android框架,其他5项(CVE-2019-2030、CVE-2019-2031、CVE-2019-2033、CVE-2019-2034及CVE-2019-2035)位于作业系统中,可在让装置端的攻击者不需使用者互动而取得更高权限。此外作业系统核心还包括3项可导致资讯泄露的漏洞:CVE-2019-2038、CVE-2019-2039、CVE-2019-2040,皆被列为高风险。

betway必威官网手机版 5

0x02 Meltdown 攻击

Meltdown 漏洞利用到了无序执行指令(Out-of-Order)模式,可允许恶意者读取目标设备的整个物理内存空间,而不单是内核空间,从而泄露出操作系统及其上应用程序的所有信息。

利用程序中借助了处理器提权漏洞,使得指令可以绕过内存保护,从而由 “推演执行” 特性绕过用户层到内核层的限制,这就使得应用程序也能访问系统为内核分配的空间。

这代表Android用户只要点击可爱的猫、狗图片,或是看起来无害的风景照,都可能遭到远程程序攻击。

谷歌Project Zero团队在接受媒体采访时表示,Android的受让方是Android安全研究的一个重要领域,因为他们会在最高权限级别向Android设备中添加各种代码,而那些代码可能包含安全漏洞,而且他们提供给设备运营商的安全升级的发布频率也是由各家Android厂商自己决定的。

betway必威官网手机版 6

研究人员指出,项漏洞可经由Instant app引发安全风险。这类app让手机用户不必下载也能试用。用户点选浏览器连结后,智慧型手机会下载一个小档案可像原生app般执行,它能存取手机硬件但不占用储存空间。当攻击者以instant app执行,就可在用户点选连结恶意app后拦截资料。

0x03 Spectre 攻击

要完全解决 Spectre 漏洞需改变处理器的架构,因此该漏洞不容易修补且会困扰人们很长一段时间。

它打破了不同进程间的隔离机制,攻击者会先让进程访问其内部的特定空间,而后通过侧信道方式读取相应数据,从而泄露出程序信息。

Spectre 攻击不仅可以用于内核层到用户层的信息泄露,还可用于虚拟化中 Hypervisor 层到 Client 层的信息泄漏。此外,借助 JS 代码还可实现浏览器沙箱逃逸:

betway必威官网手机版 7

需要注意的是,用于防护 Meltdown 攻击的 KAISER 机制对其是不适用的。

来自Tripwire的安全研究人员Craig Young指出,相关漏洞与Android在描绘图片之前如何进行解析有关,这些漏洞之所以存在是因为Android依然在特权流程中解析媒体文件。 Young认为,媒体处理是风险最高的活动之一,自动化的媒体解析不但应该要保持在最低限制,也应该在隔离的环境中执行。

谷歌团队披露漏洞细节

除了少数漏洞外,大部份漏洞影响包括Android 7.0(7.1.1、7.1.2)、8.0/ 8.1及9等版本。所幸Google表示尚未接获有开采或滥用上述漏洞的受害通报。

该项漏洞可让黑客从程序內存中取得敏感信息,包括上网纪录、app登入需要的验证权杖和标头,以及其他资料。由于大部份Android app都有WebView,也使这项漏洞变得非常危险,被Google列为高风险漏洞。

0x04 漏洞的修复

Windows OS (7/8/10) 和 Microsoft Edge/IE

微软已经发布了针对 Windows 10 的安全更新(KB4056892),用于解决 Meltdown 问题,并将于 1 月 9 日发布针对 Windows 7 和 Windows 8 的修复程序。

Linux OS

Linux 也发布了内核补丁,版本包括 4.14.11、4.9.74、4.4.109、3.16.52、3.18.91 和 3.2.97,用户可以从 Kernel.org 上下载。

Apple macOS、iOS、tvOS 和 Safari Browser

Apple 在公告中指出,所有 Mac 系统和 iOS 设备都受到了影响,但目前还没有已知的攻击事件发生。

为了预防 Meltdown 攻击,Apple 已经在 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 上释出了缓解措施,针对 Spectre 攻击的修复方案将在后续发布。

Android OS

Google 表示,1 月 5 日发布的安全更新已经释出了最新版的 Android 操作系统。

Firefox Web Browser

Mozilla 已经发布了 Firefox 57.0.4 版本,其中包含针对 Meltdown 和 Spectre 攻击的缓解措施,建议用户尽快更新。

Google Chrome Web Browser

Google 计划在 1 月 23 日发布 Chrome 64 版本用于防御针对 Meltdown 和 Spectre 的攻击,在此期间,用户可启用 “Site Isolation” 功能。

VMware

云计算厂商 VMware 也发布了受影响的产品清单以及针对 Meltdown 攻击的修复措施。

更多详情可参考看雪论坛专题帖: [讨论]Intel 曝出处理器设计漏洞,影响 Linux 和 Windows 内核

本文由看雪翻译小组 BDomne 编译,来源hackernews

转载请注明来自看雪社区

尽管Google宣称尚未发现黑客的攻击行动,而且已将修补版本发布至Android开源项目(Android Open Source Project,AOSP),但目前只有诸如Pixel等Google品牌的设备可直接取得Google的安全更新,至于其它品牌的手机或平板则仍得视设备制造商或电信企业的更新进程才能取得修补,意味着仍有众多的Android设备陷于该重大安全风险中。

谷歌研究人员最终发现,三星的代码中有11处安全漏洞。黑客可以借助这些漏洞制作具有系统特权的文件,窃取用户电子邮件,并在内核中执行代码,同时增加特权和非特权应用。

主要Android厂商已在至少一个月前就获得通报,包括Google Pixel和Nexus装置、Samsung、Sony、LG、HTC、Nokia等品牌手机用户,理应近日会接到更新通知,Google也会在48小时内,将修补程序释出给Android开源码专案(Android Open Source Project,AOSP)数据库。

从Android 7.0后,WebView已经由Google Chrome实作,因此只要更新浏览器即可修补漏洞。但早期版本的Android的WebView则必须经由Google Play安装。若Android手机用户没有Google Play服务,则需等手机业者释出WebView更新。

存在漏洞的包括WifiHs20UtilityService和三星电子邮件客户端等应用。另外,三星后期增加的驱动和图片分析组件也存在很多问题,黑客只需简单地在Galaxy S6 Edge上下载一个图片就能利用其中的3处缺陷。漏洞的编号分别为(CVE-2015-7888,CVE-2015-7889,CVE-2015-7890, CVE-2015-7891, CVE-2015-7892,CVE-2015-7893,CVE-2015-7894, CVE-2015-7895, CVE-2015-7896, CVE-2015-7897, CVE-2015-7898)。

betway必威官网手机版 8

betway必威官网手机版 9

此外,Google并预计在4月5日发布第二波安全修补程序,修补作业系统中1项远端程序码执行漏洞,以及2项权限升级与1项资讯泄露漏洞。4月5日的修补更新则可解决上述所有漏洞。

谷歌表示,该公司发现了一些非常严重的问题,主要集中于设备驱动和媒体处理方面。另外还有3个影响较大的逻辑缺陷也很容易被黑客利用。

“这是多么的令人感到遗憾,用于解压缩文件的API并不会核实文件路径,所以能够从不期望的地址上执行写入操作,使用Dalvik缓存能够充分利用漏洞。”

betway必威官网手机版,详细报告

【编辑推荐】

本文由betway必威官网手机版发布于互联网知识,转载请注明出处:betway必威官网手机版:Android藏重大漏洞,Google修

关键词: