三星集团时隔6年!存在于自2014年以来所有三星手机中的高危漏洞终被修复
IT之家5月7日消息 据ZDNET报道 , 三星本周发布最新的安全更新以修复自2014年以来一直影响着所有在售三星智能手机的严重漏洞 。
本文插图
IT之家了解到 , 三星于2014年年末为所有自家手机加入了对Qmage图像格式(.qmg)的支持 , 而三星的定制Android系统在处理该图像格式上存在漏洞:Google的“零号项目”漏洞搜寻小组的安全研究员Mateusz Jurczyk发现了一种利用Skia(Android图形库)如何处理发送到设备的Qmage图像的方法 。
【三星集团时隔6年!存在于自2014年以来所有三星手机中的高危漏洞终被修复】
Jurczyk说 , Qmage错误可以在零点击的情况下可被利用且无需任何用户交互 。 发生这种情况是因为Android将所有发送到设备的图像重定向发送到了Skia库以在用户不知情的情况下进行处理(例如生成缩略图预览) 。 Jurczyk称其通过向三星设备发送重复的MMS(多媒体SMS)消息进而利用了此漏洞 。 每条消息都试图猜测Skia库在Android手机内存中的位置 , 这是绕过Android的ASLR(地址空间布局随机化)保护的一项必要操作 。
Jurczyk说 , 一旦Skia库位于内存中 , 最后一个MMS就会传递实际的Qmage有效负载 , 然后设备即可被执行攻击者的代码 。
谷歌研究人员说 , 攻击通常需要50到300条MMS消息来探测和绕过ASLR , 这通常平均需要100分钟左右 。 此外Jurczyk称该项攻击可被修改为执行而不会提醒用户 , 通过MMS和Samsung Messages应用程序以外的其他方法来利用Qmage错误对设备进行攻击的方法从理论上讲是可行的 。
目前三星在2020年5月的安全更新中修复了该Bug 。 该漏洞在Samsung安全公告中被命名为SVE-2020-16747 , 在Mitre CVE数据库中被命名为CVE-2020-8899 。
- 小了白了兔股价创近2个月新高,丰山集团大幅拉升3.71%
- 医疗「DOCO」获 NOVENA 集团战略投资,用“专业需求 + 国际研发”切入个护市场
- 格隆汇APP新意网集团(01686.HK)遭执董陈文远减持7万股
- 手机中国联盟A71前置相机成绩揭晓,综合得分83,三星Galaxy
- 手机大魔王还有谁!苹果4G手机销量霸榜,华为小米三星加一起都比不过
- 创投时报性能超越骁龙865,苹果A14被拉下神坛,三星新处理器泄密
- 斯利廷一亿像素方向错了?三星、小米俩大品牌都不行,华为依然屹立第一
- 科技迷要放弃美国代工?国产x86转向三星台积电代工,7nm版年底流片
- 言科技三星手机该怎么玩?了解完这几点用机技巧,可以轻车熟路了
- 茅台时空要建章立制扎紧制度笼子,茅台集团推进审计问题整改