压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一個(gè)特制的看似無害的視頻文件可能會危及您的Android智能手機(jī)，這要?dú)w功于一個(gè)關(guān)鍵的遠(yuǎn)程執(zhí)行代碼漏洞，該漏洞會影響在7.0和9.0之間運(yùn)行Android操作系統(tǒng)的10多萬臺設(shè)備（Nougat，Oreo或Pie）。

有問題的關(guān)鍵是：RCE漏洞（CVE-2019-2107）存在于Android媒體框架中，如果被利用，可能允許遠(yuǎn)程攻擊者在目標(biāo)設(shè)備上執(zhí)行任意代碼。

為了完全控制設(shè)備，攻擊者需要做的就是欺騙用戶使用Android的原生視頻播放器應(yīng)用程序播放特制的視頻文件。

雖然谷歌本月早些時(shí)候已經(jīng)發(fā)布了一個(gè)補(bǔ)丁來解決這個(gè)漏洞，但顯然數(shù)以百萬計(jì)的Android設(shè)備仍在等待各自設(shè)備制造商需要提供的最新Android安全更新。

“其中最嚴(yán)重的漏洞可能使遠(yuǎn)程攻擊者能夠使用特制文件在特權(quán)進(jìn)程的上下文中執(zhí)行任意代碼，”Google在其7月Android安全公告中描述了該漏洞。

讓這個(gè)問題更令人擔(dān)憂的是，總部位于德國的Android開發(fā)商Marcin Kozlowski已經(jīng)為Github?上傳了這次攻擊的概念驗(yàn)證。

盡管由HEVC編碼視頻Kozlowski共享的PoC僅使媒體播放器崩潰，但它可以幫助潛在的攻擊者開發(fā)他們的攻擊以在目標(biāo)設(shè)備上實(shí)現(xiàn)RCE。
但是，應(yīng)該注意的是，如果通過WhatsApp或Facebook Messenger等即時(shí)通訊應(yīng)用程序接收此類惡意視頻，或者上傳到Y(jié)ouTube或Twitter等服務(wù)上，則攻擊無效。

這是因?yàn)檫@些服務(wù)通常會壓縮視頻并重新編碼會破壞嵌入式惡意代碼的媒體文件。

保護(hù)自己免受此攻擊的最佳方法是確保在最新補(bǔ)丁可用后立即更新您的移動(dòng)操作系統(tǒng)。

同時(shí)，建議您避免從不受信任的來源下載和播放隨機(jī)視頻，并遵循基本的安全和隱私慣例。

原文鏈接：?https://thehackernews.com/2019/07/android-media-framework-hack.html

轉(zhuǎn)載自安全加：http://toutiao.secjia.com/article/page?topid=111762