谷歌紧急释放补丁,修复安卓系统高危提权漏洞(CVE-2015-1805)

2016-03-23 +5 335184人围观 ,发现 14 个不明物体 漏洞终端安全

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

谷歌发布了紧急安全补丁来修复影响Android操作系统的特权提升漏洞CVE-2015-1805。

影响所有Nexus设备和部分安卓

谷歌已经发布了紧急安全补丁来修复影响Android 操作系统设备内核的特权提升漏洞CVE-2015-1805。该漏洞属高危漏洞,可用于提升权限并在存在漏洞的设备上运行任意代码。

这个安全漏洞的年限已久,几年前就在upstream Linux内核中被发现,并于2014年4月被修复。但不幸的是,人们低估了该漏洞的危害性,直到上个月C0RE小组告知谷歌该漏洞可以被用于攻击Android操作系统。

所有未打补丁的运行内核版本3.4、3.10和3.14的安卓设备,包括所有的Nexus设备都很容易受到CVE-2015-1805漏洞的影响。同时,Linux内核版本3.18或更高版本的设备不会受到影响。

Nexus-Rooting-CVE-2015-1805.jpg

谷歌已经通过Verify Apps功能,从Google Play内部及外部,全方位的封锁了可能触发该漏洞的软件的安装。

谷歌咨询师表示:

“我们已经从Google Play内外部,全面地封锁了利用该漏洞的根应用的安装,通过使用Verify Apps以及更新了我们的系统来检测使用这个特殊漏洞的应用程序。为了有效地防御该漏洞,2016年3月16日,我们已经为合作伙伴们提供了针对该漏洞的补丁。Nexus更新程序正在开发中,未来几天内将会发布。针对此问题的源代码补丁已经发布到Android开源项目(AOSP)资源库。”

谷歌已经提醒相关用户,该漏洞可能会造成设备永久性破坏,在某些情况下,可能必须要重新刷新操作系统来删除恶意应用程序。

谷歌咨询师补充道:

“内核提升特权漏洞可能会使本地恶意应用程序在内核中执行任意代码。这种问题可能造成本地设备永久性破坏而且需要通过重新刷新操作系统来修复设备。”

谷歌正在积极进行Nexus更新工作,并会在未来几天内发布最新补丁,现在公司已经就该漏洞问题通知了其合作伙伴。

咨询师表示:

“关于该问题的源代码补丁已经发布到Android开源项目(AOSP)存储库。”

为减轻漏洞利用风险,用户应该及时更新补丁,以防范安全漏洞危害。

*原文地址:securityaffairs,FB小编米雪儿编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐

这些评论亮了

  • 楼上SB 回复
    @ softbug  身为一个成年人,看到一个认证的安全大神居然说出这种小学生才说的话,你有没有脑子
    )11( 亮了
  • softbug (7级) i am here! 回复
    安卓系统,到处都是洞,过不了多久就发一个什么高危的。还有意思吗,说到底还是让最终用户去为这些漏洞买单,都去买苹果手机吧。
    )8( 亮了
  • oooo 回复
    你们是如何第一手得到这些信息的 求分享
    )7( 亮了
  • 李铁军 回复
    谷歌是修复漏洞了,其他厂商哪天能修就不知道了……
    )7( 亮了
  • 拿铁加不加糖 回复
    你想多了,厂商才不会修呢
    )7( 亮了
发表评论

已有 14 条评论

取消
Loading...

特别推荐

推荐关注

官方公众号

聚焦企业安全

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php