Android在5月的安全公告中修复了超过100个安全漏洞,其中29个为Cricital级别,包括媒体处理服务器,硬件特定驱动程序和其他组件。
这次的更新依然分2波推送,5月1日的安全补丁涵盖了Android设备中常见的漏洞修复;5月5日则针对某些设备中的硬件驱动和内核组件进行漏洞修复。
本月安全更新修复了Mediaserver中的6个关键漏洞,这是一个处理图像和视频文件处理的Android组件。
这些漏洞可欺骗用户下载恶意构建的媒体文件,或者通过电子邮件或其他消息应用共享这些文件来利用。用户甚至不需要打开文件,攻击者就能实现远程代码执行。
通过利用这种缺陷,攻击者可以在Mediaserver进程的上下文中实现远程执行代码,与常规应用程序相比,攻击者具有特殊的权限。 在某些设备上,甚至可以导致所有数据的完全折中。
除了六个关键缺陷的修补程序外,2017-05-01修补程序级别还包括针对八个高风险漏洞,五个中等严重性漏洞和一个低严重性问题的修复。 其中一些漏洞也位于Mediaserver组件中。
除此之外值得一提的是,本次更新还修复了Android文件加密方案中的一个漏洞,可致攻击者绕过锁屏。这种缺陷可以允许窃贼或执法当局实际访问受保护设备以从中提取数据。
2017-05-05安全补丁还包含与媒体处理有关的远程可利用漏洞的修复。 该漏洞位于GIFLIB,这是一个由操作系统用于读取和写入GIF格式图像的库。
其它漏洞修复详情可参见谷歌的安全公告。
原文链接:http://www.networkworld.com/article/3193812/security/android-gets-patches-for-critical-flaws-in-media-handling-hardware-drivers.html
(安全狗整理 谷歌翻译)