《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 三星Galaxy智能手機(jī)驚現(xiàn)嚴(yán)重安全漏洞 持續(xù)6年才被修復(fù)

三星Galaxy智能手機(jī)驚現(xiàn)嚴(yán)重安全漏洞 持續(xù)6年才被修復(fù)

2020-05-09
來(lái)源: 快科技

    5月8日,,據(jù)媒體報(bào)道,,三星發(fā)布每月安全更新,2014年底開(kāi)始銷(xiāo)售的智能手機(jī)存在一個(gè)“perfect 10”關(guān)鍵安全漏洞,,一經(jīng)利用,可啟用任意遠(yuǎn)程代碼,。

    報(bào)道稱(chēng),,三星于2014年年末為所有自家手機(jī)加入了對(duì)Qmage圖像格式(.qmg)的支持,而三星的定制安卓系統(tǒng)在處理Qmage上存在漏洞,。

    谷歌“零號(hào)項(xiàng)目”安全研究員Mateusz Jurczyk發(fā)現(xiàn)了一種利用Skia (安卓圖形庫(kù))處理發(fā)送到設(shè)備的Qmage圖像的方法,。

    Jurczyk表示,,Qmage錯(cuò)誤可以在零點(diǎn)擊的情況下利用,而無(wú)需用戶(hù)進(jìn)行操作,。通過(guò)向三星設(shè)備重復(fù)發(fā)送MMS信息,,每條消息都試圖猜測(cè)Skia庫(kù)在Android手機(jī)內(nèi)存中的位置,這是繞過(guò)安卓的ASLR(地址空間配置隨機(jī)加載)保護(hù)的必要操作,。

    攻擊者通常需要100分鐘左右的時(shí)間,,發(fā)送50到300條彩信來(lái)探測(cè)和繞過(guò)ASLR。一旦Skia庫(kù)在內(nèi)存中的位置被確定,,最后一條彩信就會(huì)傳遞出實(shí)際的Qmage有效載荷,,然后在設(shè)備上執(zhí)行攻擊者的代碼。

    雖然這種攻擊看起來(lái)可能很密集,,但也可以在修改后以不提醒用戶(hù)的情況下執(zhí)行,。三星在5月的安全更新中對(duì)此進(jìn)行了修復(fù)。

    

0cf64b9f0e6c76c8e2dec04235a677dc.jpg

    

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。