4漏洞可讓駭客接管Android裝置 Google緊急修補

Google本周稍早警告4項可允許執行惡意程式碼而接管裝置的Android漏洞,遭到一群不知名的駭客正在開採。

Google本周稍早警告4項可允許執行惡意程式碼而接管裝置的Android漏洞,遭到一群不知名的駭客正在開採。

這批漏洞是由Google Project Zero研究人員Maddie Stone揭露。其中二項位於高通Snapdragon處理器,包括CVE-2021-1905、CVE-2021-1906,前者屬於記憶體緩衝溢位漏洞,可讓攻擊者以完整根權限執行惡意程式碼,風險等級7.8,後者則為風險5.5的一項邏輯漏洞,可導致GPU記憶體分配錯誤。串聯二項漏洞可使攻擊者繞過安全防護執行程式碼。

另二項漏洞則位於ARM Mali GPU的記憶體緩衝溢位漏洞,包括CVE-2021-28663、CVE-2021-28664,可讓攻擊者取得Android根權限。

這些漏洞全部都包含在五月Android安全公告。五月份的安全公告一共修補了40多項漏洞,當時並未特別明講,不過本周Stone宣佈,這4項漏洞已在沒修補前,遭到有限度但精準的開採,也成為Google今年最新的4個零時差漏洞。

安全廠商Zimperium策略專案副總裁Asaf Peleg也說明,成功開採這二項漏洞可使攻擊者取得受害者行動終端的完整控制權,因漏洞可提升帳號的預設權限,進而在現有行程的沙箱外部執行程式碼,讓Android帳號完全被攻陷,所有資料都在曝露風險中。

至於攻擊活動內容Google不願說明。開採這些漏洞需要相當能力,研究人員相信,攻擊者可能是國家支持的駭客的傑作。

Google已對硬體廠商釋出安全更新,後者將負責將更新版本釋出給用戶。Google也建議用戶儘速升級最新版本Android以確保安全。

來源:Ars Technica

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416