谷歌为Nexus智能手机和平板电脑发行了一批新型安全补丁,解决了通过恶性邮件、网页和彩信入侵安卓设备的漏洞。
谷歌在安全公告中表示: 固件更新系统会应用无线更新推广于支持Nexus设备,并且在接下来的48小时把补丁添加到安卓开放源代码项目(AOSP)。安全修复级别中包含的修复系统,例如LMY48Z或安卓棉花糖,会在2015年12月1日前建立。
这些更新系统修复了五个关键漏洞、十二个高级漏洞和两个中级漏洞。在一些操作系统媒体处理组件中,也就是处理音频视频回放和相应的元数据解析文件,又一次发现了相当数量的缺陷漏洞。
在操作系统的核心——媒体服务器中发现了一种严重的漏洞补丁。这种漏洞可以越权应用于执行不属于第三方应用的任意代码。用户在浏览器中使用特殊制作的媒体文件时,攻击者就可以通过欺诈手段或发送彩信来远程利用此种漏洞。
应该指出的是,在安卓默认的消息应用程序中,比如环聊或信使,接收到的多媒体信息无法自动解析。
其他三个可以通过邮件、网页浏览或彩信执行远程代码的媒体处理漏洞,也在Skia制图引擎和媒体服务器下载的用户模式驱动程序中得到修补。
最后被修补的漏洞是一个在安卓核心中特权升级的漏洞。它可以潜地允许恶性应用程序root执行代码,也就是系统中的最高权限。
这样的缺陷可以让某些狂热者用来完全控制设备,就是所谓的安卓root。但是在一些恶意攻击者手中,这样的缺陷会导致彻底而持久的入侵。并且,只有在操作系统执行更新时才会修复。
附加的权限升级缺陷在其他组件中也得到修复,但是它们不允许root,因此只被定为高级漏洞。即便如此,它们也可以给恶性应用程序发送本不应有的危险许可。
如果设备制造商提供了最新版本,谷歌建议安卓旧版用户更新到最新版本,。因为新版安卓适当地提高了安全性来阻碍或制止漏洞的利用。
谷歌安全团队也运用了Verify Apps和SafetyNet 这样的设置来监测预防潜在的危险应用程序。例如,谷歌市场(Google Play)就不接受用权限升级缺陷root设备的应用程序,Verify Apps也会默认阻止root可知的应用程序。