Android爆重大漏洞，點擊PNG圖片就可能遭受遠端攻擊

Nicholas Lee 0911 · 發表於 2019-2-11 22:09

Android藏重大漏洞，用戶只要點擊PNG圖片就可能遭受遠端攻擊

Google2月釋出的Android安全更新，修補了涉及PNG檔案的重大漏洞，這些漏洞允許駭客在PNG中植入惡意程式，波及Android 7.0到Android 9的各種版本

Google在今年2月釋出的Android安全更新中，修補了3個涉及PNG檔案的重大漏洞，相關漏洞允許駭客在PNG中植入惡意程式，用戶只要點擊PNG圖片就能觸發漏洞，而惹來遠端程式攻擊。

PNG檔案的全名為Portable Network Graphics，為一專為網路傳輸所設計的檔案格式，並準備用來取代GIF。

根據Google的說明，本次更新最嚴重的安全漏洞藏匿在框架（Framework）中，允許遠端駭客透過特製的PNG檔案，在特權流程中執行任意程式，包括CVE-2019-1986、CVE-2019-1987及CVE-2019-1988，波及從Android 7.0到Android 9的各種Android版本。

這代表Android用戶只要點選可愛的貓、狗圖片，或是看起來無害的風景照，都可能遭到遠端程式攻擊。

來自Tripwire的安全研究人員Craig Young指出，相關漏洞與Android在描繪圖片之前如何進行解析有關，這些漏洞之所以存在是因為Android依然在特權流程中解析媒體檔案。Young認為，媒體處理是風險最高的活動之一，自動化的媒體解析不但應該要保持在最低限制，也應該在隔離的環境中執行。

儘管Google宣稱尚未發現駭客的攻擊行動，而且已將修補版本釋出至Android開源專案（Android Open Source Project，AOSP），但目前只有諸如Pixel等Google品牌的裝置可直接取得Google的安全更新，至於其它品牌的手機或平板則仍得視裝置製造商或電信業者的更新時程才能取得修補，意謂著仍有眾多的Android裝置陷於此一重大安全風險中。

新聞來源：https://www.ithome.com.tw/news/128669

評論：看來這次問題蠻嚴重的，畢竟點擊圖片就有可能中招，從上面附圖中也可看到這次漏洞嚴重性層級為critical(嚴重的、危急的)。雖然我知道HTC在安全性更新這方面不積極也不勤勞，但不知這次是否會為旗下所有安卓版本7.0(含)以上的手機提供安全性更新？

本文章最後由( Nicholas Lee 0911 )於 2019-2-11 22:15 編輯