安卓曝?zé)o限重啟漏洞
責(zé)編:mhshi |2015-08-07 16:10:19幾天前,趨勢(shì)安全的研究員發(fā)現(xiàn)了讓安卓手機(jī)操作系統(tǒng)崩潰的一個(gè)漏洞,這個(gè)漏洞影響了大量的安卓設(shè)備。然而這還沒完,沒多久又有獨(dú)立安全研究員發(fā)布了Stagefright漏洞,也就是那個(gè)短信漏洞。約9500萬(wàn)安卓用戶可以因簡(jiǎn)單的文本信息,被惡意安卓應(yīng)用以及特殊構(gòu)造的WEB網(wǎng)頁(yè)所劫持。
今天安全研究員們?cè)俅魏芙o力地發(fā)現(xiàn)了一個(gè)安卓安全漏洞,他們聲稱可以讓你的安卓手機(jī)無(wú)響應(yīng)而且無(wú)限重啟——該漏洞編號(hào)為CVE-2015-3823,黑客利用它可以讓安卓手機(jī)無(wú)限重啟,這聽起來有點(diǎn)像Stagefright漏洞,它源于媒體服務(wù)器(mediaserver)內(nèi)置程序設(shè)計(jì)不當(dāng)。
由于近90%的安卓用戶運(yùn)行的系統(tǒng)是4.0.1到5.1.1版本,所以很不幸,這個(gè)漏洞殺傷力很強(qiáng)。
漏洞原理
黑客可以通過兩種辦法讓你的手機(jī)無(wú)限重啟:
1.通過惡意的安卓應(yīng)用
2.通過特殊構(gòu)造的網(wǎng)站
攻擊者可以誘惑受害者用安卓媒體服務(wù)器插件打開畸形的媒體影音文件(.MKV),這會(huì)導(dǎo)致媒體服務(wù)器函數(shù)進(jìn)入死循環(huán),直至安卓設(shè)備無(wú)響應(yīng)然后重啟,最后陷入無(wú)限循環(huán)。
趨勢(shì)安全的移動(dòng)威脅響應(yīng)工程師Wish Wu于周一在博客寫道:
“該漏洞是由媒體服務(wù)器解析MKV媒體影音文件出現(xiàn)的整數(shù)溢出引起的,設(shè)備在讀取影音幀時(shí)將會(huì)出錯(cuò),然后陷入無(wú)限循環(huán)。”
安全建議
Google公司已經(jīng)收到了該漏洞的報(bào)告,但僅僅把它當(dāng)做低危漏洞。
在Google官方出漏洞補(bǔ)丁之前,如果你已經(jīng)中招,應(yīng)該怎么做呢?按下電源鍵不松手,直到你看見彈窗并以安全模式重新啟動(dòng)。由于安全模式將禁用所有第三方應(yīng)用程序和信息,你可以在發(fā)布補(bǔ)丁之前繼續(xù)使用你的安卓設(shè)備。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!