安卓曝無限重啟漏洞
責編:mhshi |2015-08-07 16:10:19幾天前,趨勢安全的研究員發現了讓安卓手機操作系統崩潰的一個漏洞,這個漏洞影響了大量的安卓設備。然而這還沒完,沒多久又有獨立安全研究員發布了Stagefright漏洞,也就是那個短信漏洞。約9500萬安卓用戶可以因簡單的文本信息,被惡意安卓應用以及特殊構造的WEB網頁所劫持。
今天安全研究員們再次很給力地發現了一個安卓安全漏洞,他們聲稱可以讓你的安卓手機無響應而且無限重啟——該漏洞編號為CVE-2015-3823,黑客利用它可以讓安卓手機無限重啟,這聽起來有點像Stagefright漏洞,它源于媒體服務器(mediaserver)內置程序設計不當。
由于近90%的安卓用戶運行的系統是4.0.1到5.1.1版本,所以很不幸,這個漏洞殺傷力很強。
漏洞原理
黑客可以通過兩種辦法讓你的手機無限重啟:
1.通過惡意的安卓應用
2.通過特殊構造的網站
攻擊者可以誘惑受害者用安卓媒體服務器插件打開畸形的媒體影音文件(.MKV),這會導致媒體服務器函數進入死循環,直至安卓設備無響應然后重啟,最后陷入無限循環。
趨勢安全的移動威脅響應工程師Wish Wu于周一在博客寫道:
“該漏洞是由媒體服務器解析MKV媒體影音文件出現的整數溢出引起的,設備在讀取影音幀時將會出錯,然后陷入無限循環。”
安全建議
Google公司已經收到了該漏洞的報告,但僅僅把它當做低危漏洞。
在Google官方出漏洞補丁之前,如果你已經中招,應該怎么做呢?按下電源鍵不松手,直到你看見彈窗并以安全模式重新啟動。由于安全模式將禁用所有第三方應用程序和信息,你可以在發布補丁之前繼續使用你的安卓設備。
上一篇:山石網科參展2015黑帽大會
下一篇:雅虎廣告網絡被黑