谷歌為Nexus智能手機和平板電腦發(fā)行了一批新型安全補丁,解決了通過惡性郵件、網頁和彩信入侵安卓設備的漏洞，

谷歌發(fā)布安卓上的關鍵媒體進程以及root漏洞補丁

    谷歌在安全公告中表示: 固件更新系統會應用無線更新推廣于支持Nexus設備,并且在接下來的48小時把補丁添加到安卓開放源代碼項目(AOSP)。安全修復級別中包含的修復系統,例如LMY48Z或安卓棉花糖,會在2015年12月1日前建立。

    這些更新系統修復了五個關鍵漏洞、十二個高級漏洞和兩個中級漏洞。在一些操作系統媒體處理組件中,也就是處理音頻視頻回放和相應的元數據解析文件,又一次發(fā)現了相當數量的缺陷漏洞。

    在操作系統的核心——媒體服務器中發(fā)現了一種嚴重的漏洞補丁。這種漏洞可以越權應用于執(zhí)行不屬于第三方應用的任意代碼。用戶在瀏覽器中使用特殊制作的媒體文件時,攻擊者就可以通過欺詐手段或發(fā)送彩信來遠程利用此種漏洞。

    應該指出的是,在安卓默認的消息應用程序中,比如環(huán)聊或信使,接收到的多媒體信息無法自動解析，

電腦資料

    其他三個可以通過郵件、網頁瀏覽或彩信執(zhí)行遠程代碼的媒體處理漏洞,也在Skia制圖引擎和媒體服務器下載的用戶模式驅動程序中得到修補。

    最后被修補的漏洞是一個在安卓核心中特權升級的漏洞。它可以潛地允許惡性應用程序root執(zhí)行代碼,也就是系統中的最高權限。

    這樣的缺陷可以讓某些狂熱者用來完全控制設備,就是所謂的安卓root。但是在一些惡意攻擊者手中,這樣的缺陷會導致徹底而持久的入侵。并且,只有在操作系統執(zhí)行更新時才會修復。

    附加的權限升級缺陷在其他組件中也得到修復,但是它們不允許root,因此只被定為高級漏洞。即便如此,它們也可以給惡性應用程序發(fā)送本不應有的危險許可。

    如果設備制造商提供了最新版本,谷歌建議安卓舊版用戶更新到最新版本,。因為新版安卓適當地提高了安全性來阻礙或制止漏洞的利用。

    谷歌安全團隊也運用了Verify Apps和SafetyNet 這樣的設置來監(jiān)測預防潛在的危險應用程序。例如,谷歌市場(Google Play)就不接受用權限升級缺陷root設備的應用程序,Verify Apps也會默認阻止root可知的應用程序。