4 漏洞可讓駭客接管 Android 裝置 Google 緊急修補

Google本周稍早警告4項可允許執行惡意程式碼而接管裝置的Android漏洞,遭到一群不知名的駭客正在開採。

Google 本周稍早警告 4 項可允許執行惡意程式碼而接管裝置的 Android 漏洞,遭到一群不知名的駭客正在開採。

這批漏洞是由 Google Project Zero 研究人員 Maddie Stone 揭露。其中二項位於高通 Snapdragon 處理器,包括 CVE-2021-1905、CVE-2021-1906,前者屬於記憶體緩衝溢位漏洞,可讓攻擊者以完整根權限執行惡意程式碼,風險等級 7.8,後者則為風險 5.5 的一項邏輯漏洞,可導致 GPU 記憶體分配錯誤。串聯二項漏洞可使攻擊者繞過安全防護執行程式碼。

另二項漏洞則位於 ARM Mali GPU 的記憶體緩衝溢位漏洞,包括 CVE-2021-28663、CVE-2021-28664,可讓攻擊者取得 Android 根權限。

這些漏洞全部都包含在五月 Android 安全公告。五月份的安全公告一共修補了 40 多項漏洞,當時並未特別明講,不過本周 Stone 宣佈,這 4 項漏洞已在沒修補前,遭到有限度但精準的開採,也成為 Google 今年最新的 4 個零時差漏洞。

安全廠商 Zimperium 策略專案副總裁 Asaf Peleg 也說明,成功開採這二項漏洞可使攻擊者取得受害者行動終端的完整控制權,因漏洞可提升帳號的預設權限,進而在現有行程的沙箱外部執行程式碼,讓 Android 帳號完全被攻陷,所有資料都在曝露風險中。

至於攻擊活動內容 Google 不願說明。開採這些漏洞需要相當能力,研究人員相信,攻擊者可能是國家支持的駭客的傑作。

Google 已對硬體廠商釋出安全更新,後者將負責將更新版本釋出給用戶。Google 也建議用戶儘速升級最新版本 Android 以確保安全。

來源:Ars Technica

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416