Google 近日发布了新的 Android 安全补丁报告。
报告中,谷歌称已经修复一系列Android中严重漏洞,包括在媒体服务器远程执行代码的缺陷(RCE)和升级后与各种驱动程序兼容问题 (EoP)。
在本月的Nexus安全公告中,发布19个漏洞目前已更新16个安全补丁。这些漏洞是在去年七月发布的Stagefright中被发现的,该问题一度影响数十亿设备。
安全公告显示,这些漏洞七个被评为严重,十个被评为高,和两个中等。虽然许多这些缺陷都是EoP问题,谷歌也马上提出了解决方案,修复了信息遭到泄露的手机设备,缓解了媒体服务器远程执行代码(EoP)漏洞问题。
幸运的是,谷歌表示,暂时没有收到新的漏洞报告。
在本次安全更新中,解决了受到Stagefright和Stagefright2.0平台组件漏洞影响的媒体服务。本月,谷歌发布新版的安全补丁中也将解决这两个RCE问题(CVE-2016-0815和CVE-2016-0816)。涉及到的版本有Android4.4.4,5.0.2, 5.1.1,6.0和6.0.1。
同时,也发布了4个针对EoP漏洞的安全补丁,分别是Conscrypt(CVE-2016-0818)、高通公司性能组件(CVE-2016-0819)、联发科Wi-Fi驱动程序(CVE-2016-0820)、Keyring组件(CVE-2016-0728)。联发科Wi-Fi驱动程序安全补丁主要针对Android 6.0.1,其他三个补丁主要针对Android 4.4.4,5.0.2,5.1.1,6.0和6.0.1。
在Conscrypt该漏洞可能允许特定类型的无效证书的,由中间证书颁发机构(CA)颁发,所以攻击者可能会制造假的认证,从而发起攻击。其他三个可能使恶意应用程序在内核中执行任意代码,从而导致设备永久的损坏。
在三月的Nexus安全公告解决了10高危漏洞,主要是内核(CVE-2016-0821)漏洞,蓝牙(CVE-2016-0830),联发科的连接驱动程序(CVE-2016-0822),2个媒体服务EoP漏洞(CVE-2016-0826和CVE-2016-0827)。
谷歌还修复了内核信息泄露漏洞(CVE-2016-0823),libstagefright(CVE-2016-0824)的Widevine(CVE-2016-0825)漏洞,和媒体服务器(CVE-2016-0828和CVE-2016-0829)漏洞。大多数这些漏洞影响到Android6.0和6.0.1版本。
在2015年8月,谷歌曾联合三星、黑莓等厂商定期更新Nexus设备。
英文原文:securityweek
源自:oschina
本文链接:https://www.yunweipai.com/5689.html
网友评论comments