三星Galaxy智能手机惊现严重安全漏洞 持续6年才被修复
2020-05-09 09:15
快科技
关注
5月8日,据媒体报道,三星发布每月安全更新,2014年底开始销售的智能手机存在一个“perfect 10”关键安全漏洞,一经利用,可启用任意远程代码。
报道称,三星于2014年年末为所有自家手机加入了对Qmage图像格式(.qmg)的支持,而三星的定制安卓系统在处理Qmage上存在漏洞。
谷歌“零号项目”安全研究员Mateusz Jurczyk发现了一种利用Skia (安卓图形库)处理发送到设备的Qmage图像的方法。
Jurczyk表示,Qmage错误可以在零点击的情况下利用,而无需用户进行操作。通过向三星设备重复发送MMS信息,每条消息都试图猜测Skia库在Android手机内存中的位置,这是绕过安卓的ASLR(地址空间配置随机加载)保护的必要操作。
攻击者通常需要100分钟左右的时间,发送50到300条彩信来探测和绕过ASLR。一旦Skia库在内存中的位置被确定,最后一条彩信就会传递出实际的Qmage有效载荷,然后在设备上执行攻击者的代码。
虽然这种攻击看起来可能很密集,但也可以在修改后以不提醒用户的情况下执行。三星在5月的安全更新中对此进行了修复。
声明:
本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。
图片新闻
最新活动更多
-
11月28日立即报名>>> 2024工程师系列—工业电子技术在线会议
-
11月29日立即预约>> 【上海线下】设计,易如反掌—Creo 11发布巡展
-
11月30日立即试用>> 【有奖试用】爱德克IDEC-九大王牌安全产品
-
即日-12.5立即观看>> 松下新能源中国布局:锂一次电池新品介绍
-
12月19日立即报名>> 【线下会议】OFweek 2024(第九届)物联网产业大会
-
即日-12.26火热报名中>> OFweek2024中国智造CIO在线峰会
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论