安卓中文网 > 正文
三星本周发布安全更新 修复了一个涉及2014年以来旗下所有智能机的安全漏洞
三星本周发布安全更新 修复了一个涉及2014年以来旗下所有智能机的安全漏洞
来源: TGBUS原创 作者: 瓶子哥 2020-05-09 08:03
其他品牌的智能手机基本没有受到影响,因为似乎只有三星修改了Android操作系统以支持由韩国公司Quramsoft开发的自定义Qmage图像格式。

近日,据外媒消息称,三星本周发布了安全更新,此次更新修复了一个会影响自2014年以来售出的所有三星智能手机的严重漏洞。谷歌的研究人员在2月份发现了此漏洞,并将此问题报告给了三星。随后,三星在2020年5月的安全更新中修复了该错误。该漏洞在三星安全公告中的代号为SVE-2020-16747,在Mitre CVE数据库中的代号为CVE-2020-8899。

三星修复严重手机漏洞(图源ZDNet)

谷歌的“零号项目”漏洞搜寻小组的安全研究员Mateusz Jurczy表示,该漏洞可以在零点击的情况下被利用,而无需任何用户交互。他说,可以通过向三星设备发送重复的MMS(多媒体SMS)消息来利用此漏洞。每条消息都试图猜测Skia库在Android手机内存中的位置,这是绕过Android的ASLR(地址空间布局随机化)保护的一项必要操作。一旦Skia库位于内存中,最后一个MMS就会传递实际的Qmage有效负载,然后在设备上执行攻击者的代码。研究人员表示这种漏洞攻击通常需要50到300条MMS消息来探测和绕过ASLR,这通常平均需要100分钟左右。  

其他品牌的智能手机基本没有受到影响,因为似乎只有三星修改了Android操作系统以支持由韩国公司Quramsoft开发的自定义Qmage图像格式。