谷歌修复CVE-2019-2232安卓DoS漏洞

12月，谷歌发布了安卓的安全更新，修复了15个安全漏洞和其他高通组件的22个漏洞。源码参见AOSP，谷歌称在1个月前就通知了合作厂商。

CVE-2019-2232

在这些修复的安全漏洞中，最严重的是安卓框架组件中的安全漏洞——CVE-2019-2232。该漏洞允许远程攻击者引发持续性的DoS攻击，导致安卓手机变砖。远程攻击者可以用精心伪造的无需用户交互的消息来触发该漏洞，漏洞原因是Unicode Handler组件和TextLine.java中的handleRun没有进行适当的输入有效性验证，引发无需用户权限的DoS攻击。该漏洞影响安卓8.0/8.1/9.0/10.0版本。但截至目前，该漏洞的技术细节还未公布。

CVE-2019-2222

该漏洞评级为critical（严重），影响ihevcd_parse_slice.c函数的ihevcd_parse_slice_data。由于缺乏边界检查，会导致函数写入分配的内存边界外。该漏洞会导致远程代码执行，但利用该漏洞需要用户交互。该漏洞影响的安卓版本包括8.0/8.1/9.0/10.0。

CVE-2019-2223

该漏洞与CVE-2019-2222漏洞类似，也是缺乏边界检查导致的跨界写漏洞，影响ihevcd_ref_list.c的ihevcd_ref_list。攻击者利用该漏洞可以在无需其他特殊权限的情况下远程执行代码。该漏洞影响的安卓版本包括8.0/8.1/9.0/10.0。

安全更新

具体各手机厂商的安全更新时间却决于设备厂商。好消息是目前没有这些漏洞在野利用的报告。三星称即将发布维护性的安全补丁，其中的补丁既包括来自谷歌的，也包括来自三星的。LG已经在开发12月的补丁，其中包含以上3各关键安全漏洞。谷歌称谷歌设备在1日就可以收到OTA更新，一般来说，每个谷歌设备都受到OTA更新需要1.5周左右。