谷歌修复CVE-2019-2232安卓DoS漏洞 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

谷歌修复CVE-2019-2232安卓DoS漏洞

ang010ela 漏洞 2019-12-12 09:14:15
271947
收藏

导语:​12月1日,谷歌发布安卓安全漏洞补丁。

12月,谷歌发布了安卓的安全更新,修复了15个安全漏洞和其他高通组件的22个漏洞。源码参见AOSP,谷歌称在1个月前就通知了合作厂商。

CVE-2019-2232

在这些修复的安全漏洞中,最严重的是安卓框架组件中的安全漏洞——CVE-2019-2232。该漏洞允许远程攻击者引发持续性的DoS攻击,导致安卓手机变砖。远程攻击者可以用精心伪造的无需用户交互的消息来触发该漏洞,漏洞原因是Unicode Handler组件和TextLine.java中的handleRun没有进行适当的输入有效性验证,引发无需用户权限的DoS攻击。该漏洞影响安卓8.0/8.1/9.0/10.0版本。但截至目前,该漏洞的技术细节还未公布。

CVE-2019-2222

该漏洞评级为critical(严重),影响ihevcd_parse_slice.c函数的ihevcd_parse_slice_data。由于缺乏边界检查,会导致函数写入分配的内存边界外。该漏洞会导致远程代码执行,但利用该漏洞需要用户交互。该漏洞影响的安卓版本包括8.0/8.1/9.0/10.0。

CVE-2019-2223

该漏洞与CVE-2019-2222漏洞类似,也是缺乏边界检查导致的跨界写漏洞,影响ihevcd_ref_list.c的ihevcd_ref_list。攻击者利用该漏洞可以在无需其他特殊权限的情况下远程执行代码。该漏洞影响的安卓版本包括8.0/8.1/9.0/10.0。

安全更新

具体各手机厂商的安全更新时间却决于设备厂商。好消息是目前没有这些漏洞在野利用的报告。三星称即将发布维护性的安全补丁,其中的补丁既包括来自谷歌的,也包括来自三星的。LG已经在开发12月的补丁,其中包含以上3各关键安全漏洞。谷歌称谷歌设备在1日就可以收到OTA更新,一般来说,每个谷歌设备都受到OTA更新需要1.5周左右。


  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务