Google 发布新的 Android 关键安全补丁

oschina
 oschina
发布于 2016年03月09日
收藏 5

Google 在昨天发布了新的 Android 安全补丁报告。

报告中,谷歌称已经修复一系列Android中严重漏洞,包括在媒体服务器远程执行代码的缺陷(RCE)和升级后与各种驱动程序兼容问题 (EoP)。

在本月的Nexus安全公告中,发布19个漏洞目前已更新16个安全补丁。这些漏洞是在去年七月发布的Stagefright中被发现的,该问题一度影响数十亿设备。

安全公告显示,这些漏洞七个被评为严重,十个被评为高,和两个中等。虽然许多这些缺陷都是EoP问题,谷歌也马上提出了解决方案,修复了信息遭到泄露的手机设备,缓解了媒体服务器远程执行代码(EoP)漏洞问题。

幸运的是,谷歌表示,暂时没有收到新的漏洞报告。

在本次安全更新中,解决了受到Stagefright和Stagefright2.0平台组件漏洞影响的媒体服务。本月,谷歌发布新版的安全补丁中也将解决这两个RCE问题(CVE-2016-0815和CVE-2016-0816)。涉及到的版本有Android4.4.4,5.0.2, 5.1.1,6.0和6.0.1。

同时,也发布了4个针对EoP漏洞的安全补丁,分别是Conscrypt(CVE-2016-0818)、高通公司性能组件(CVE-2016-0819)、联发科Wi-Fi驱动程序(CVE-2016-0820)、Keyring组件(CVE-2016-0728)。联发科Wi-Fi驱动程序安全补丁主要针对Android 6.0.1,其他三个补丁主要针对Android 4.4.4,5.0.2,5.1.1,6.0和6.0.1。

在Conscrypt该漏洞可能允许特定类型的无效证书的,由中间证书颁发机构(CA)颁发,所以攻击者可能会制造假的认证,从而发起攻击。其他三个可能使恶意应用程序在内核中执行任意代码,从而导致设备永久的损坏。

在三月的Nexus安全公告解决了10高危漏洞,主要是内核(CVE-2016-0821)漏洞,蓝牙(CVE-2016-0830),联发科的连接驱动程序(CVE-2016-0822),2个媒体服务EoP漏洞(CVE-2016-0826和CVE-2016-0827)。

谷歌还修复了内核信息泄露漏洞(CVE-2016-0823),libstagefright(CVE-2016-0824)的Widevine(CVE-2016-0825)漏洞,和媒体服务器(CVE-2016-0828和CVE-2016-0829)漏洞。大多数这些漏洞影响到Android6.0和6.0.1版本。

在2015年8月,谷歌曾联合三星、黑莓等厂商定期更新Nexus设备。

英文原文:securityweek

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Google 发布新的 Android 关键安全补丁
加载中

最新评论(4

beetleleo
beetleleo
bug是无法避免的, 及时更新就好.
super川
super川
垃圾安卓
拉风的道长
拉风的道长

引用来自“穿猫的靴子”的评论

漏洞满天飞
由粉转为黑
穿猫的靴子
穿猫的靴子
漏洞满天飞
返回顶部
顶部