5月8日,，據媒體報道,，三星發(fā)布每月安全更新,，2014年底開始銷售的智能手機存在一個“perfect 10”關鍵安全漏洞,，一經利用,，可啟用任意遠程代碼,。

    報道稱,，三星于2014年年末為所有自家手機加入了對Qmage圖像格式（．qmg）的支持,，而三星的定制安卓系統(tǒng)在處理Qmage上存在漏洞,。

    谷歌“零號項目”安全研究員Mateusz Jurczyk發(fā)現了一種利用Skia （安卓圖形庫）處理發(fā)送到設備的Qmage圖像的方法。

    Jurczyk表示,，Qmage錯誤可以在零點擊的情況下利用,，而無需用戶進行操作。通過向三星設備重復發(fā)送MMS信息,，每條消息都試圖猜測Skia庫在Android手機內存中的位置,，這是繞過安卓的ASLR（地址空間配置隨機加載）保護的必要操作。

    攻擊者通常需要100分鐘左右的時間，發(fā)送50到300條彩信來探測和繞過ASLR,。一旦Skia庫在內存中的位置被確定,，最后一條彩信就會傳遞出實際的Qmage有效載荷，然后在設備上執(zhí)行攻擊者的代碼,。

    雖然這種攻擊看起來可能很密集,，但也可以在修改后以不提醒用戶的情況下執(zhí)行。三星在5月的安全更新中對此進行了修復,。