3D科技网3D科技网

3D科技网
提供IT业界的新鲜事、奇趣事和热门焦点,掌控最热最新的互联网新闻、科技新闻和IT业界动态。
3D科技网

前沿科技信息篇:三星终于修补了自2014年以来一直存在的漏洞

借助2020年5月的Android安全补丁,三星修复了自2014年以来影响其所有智能手机的严重零点击漏洞。该安全漏洞利用了该公司的Android皮肤处理“ Qmage”图像格式(.qmg)的方式。

Qmage是由韩国公司Quramsoft开发的自定义图像格式。自2014年以来,三星开始在其Galaxy智能手机中支持.qmg文件。据报道,该公司在Samsung Themes中使用了它们。

但是,该实现显然具有严重的漏洞。与Google的“零号项目”漏洞搜寻团队合作的安全研究员Mateusz Jurczyk最近(通过ZDNet)发现了一种利用该漏洞的方法。

该漏洞利用了Skia(Android的图形库)处理发送到三星智能手机的.qmg图像的方式。该漏洞可以在零点击的情况下利用,这意味着它不需要任何用户交互。

三星通过2020年5月更新修复了零点击漏洞

Android操作系统会将设备收到的所有图像重定向到Skia库,以处理和生成缩略图预览。这是在用户不知情的情况下发生的。

Jurczyk可以通过向三星手机发送重复的MMS消息来利用该漏洞。由于这些图像被重定向到Skia库,因此他可以猜测该库在设备内存中的位置。

知道Skia库的位置意味着他可以绕过Android的ASLR(地址空间布局随机化)保护。找到该库后,又将一个包含Qmage文件的MMS发送到电话。然后,该文件将在设备上执行攻击者的代码。

Jurczyk说,利用此漏洞需要50到300条MMS消息。该过程平均大约需要100分钟。可以通过可以接收Qmage图像的任何应用程序(包括三星的Messages应用程序)利用此错误。

研究人员甚至可以获取Skia库完全处理的MMS消息,而无需触发通知声音。因此完全隐身攻击很有可能。

Jurczyk在2月发现了此漏洞并将其报告给了Samsung。这家韩国公司最终通过2020年5月的Android安全更新对其进行了修补。

三星智能手机的五月安全维护版本还包含其他18个三星漏洞和暴露(SVE)的修复程序,这是三星自定义Android皮肤所独有的漏洞。此外,它还修复了九个关键和数十个高风险和中风险的Android OS漏洞。

三星上周开始推出2020年5月的Android安全更新。到目前为止,该更新已针对Galaxy S20,Galaxy Fold,Galaxy Note 10,Galaxy S10,Galaxy Z Flip和Galaxy A50手机发布。未来几周内,其他合格的Galaxy智能手机也应该可以使用它。

上述的内容就为今日小编为大家所分享的关于科技科学方面的一些信息了,希望今天小编为大家分享的关于科技方面的信息对大家有帮助哦。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关推荐