三星修补了一个严重漏洞 涉及2014年以来所有智能机

　　据外媒ZDNet消息，韩国智能手机供应商三星本周发布了安全更新，以修复影响自2014年以来售出的所有智能手机的严重漏洞。

　　谷歌的研究人员在2月份发现了此漏洞，并将此问题报告给了三星。这家韩国手机制造商在2020年5月的安全更新中修复了该错误。该漏洞在三星安全公告中的代号为SVE-2020-16747，在Mitre CVE数据库中的代号为CVE-2020-8899。

三星修复严重手机漏洞（图源ZDNet）

　　谷歌的“零号项目”漏洞搜寻小组的安全研究员Mateusz Jurczy表示，该漏洞可以在零点击的情况下被利用，而无需任何用户交互。他说，可以通过向三星设备发送重复的MMS（多媒体SMS）消息来利用此漏洞。每条消息都试图猜测Skia库在Android手机内存中的位置，这是绕过Android的ASLR（地址空间布局随机化）保护的一项必要操作。一旦Skia库位于内存中，最后一个MMS就会传递实际的Qmage有效负载，然后在设备上执行攻击者的代码。研究人员表示这种漏洞攻击通常需要50到300条MMS消息来探测和绕过ASLR，这通常平均需要100分钟左右。　　

　　其他品牌的智能手机基本没有受到影响，因为似乎只有三星修改了Android操作系统以支持由韩国公司Quramsoft开发的自定义Qmage图像格式。

（编辑：555手机网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!