Language:

HTC論壇

 找回密碼
 立即註冊
查看: 3474|回覆: 2
打印 上一主題 下一主題

[新聞] Android爆重大漏洞,點擊PNG圖片就可能遭受遠端攻擊

[複製鏈接]

4

主題

31

文章

145

積分

1_路過旅人

Rank: 1

積分
145

HTC其他型號HTC平板電腦論壇兩週年勳章開發者

跳轉到指定樓層
1#
發表於 2019-2-11 22:09 | 只看該作者 |只看大圖 回覆獎勵 |倒序瀏覽 |閱讀模式
Android藏重大漏洞,用戶只要點擊PNG圖片就可能遭受遠端攻擊

Google2月釋出的Android安全更新,修補了涉及PNG檔案的重大漏洞,這些漏洞允許駭客在PNG中植入惡意程式,波及Android 7.0到Android 9的各種版本

Google在今年2月釋出的Android安全更新中,修補了3個涉及PNG檔案的重大漏洞,相關漏洞允許駭客在PNG中植入惡意程式,用戶只要點擊PNG圖片就能觸發漏洞,而惹來遠端程式攻擊。

PNG檔案的全名為Portable Network Graphics,為一專為網路傳輸所設計的檔案格式,並準備用來取代GIF。

根據Google的說明,本次更新最嚴重的安全漏洞藏匿在框架(Framework)中,允許遠端駭客透過特製的PNG檔案,在特權流程中執行任意程式,包括CVE-2019-1986、CVE-2019-1987及CVE-2019-1988,波及從Android 7.0到Android 9的各種Android版本。

這代表Android用戶只要點選可愛的貓、狗圖片,或是看起來無害的風景照,都可能遭到遠端程式攻擊。

來自Tripwire的安全研究人員Craig Young指出,相關漏洞與Android在描繪圖片之前如何進行解析有關,這些漏洞之所以存在是因為Android依然在特權流程中解析媒體檔案。Young認為,媒體處理是風險最高的活動之一,自動化的媒體解析不但應該要保持在最低限制,也應該在隔離的環境中執行。

儘管Google宣稱尚未發現駭客的攻擊行動,而且已將修補版本釋出至Android開源專案(Android Open Source Project,AOSP),但目前只有諸如Pixel等Google品牌的裝置可直接取得Google的安全更新,至於其它品牌的手機或平板則仍得視裝置製造商或電信業者的更新時程才能取得修補,意謂著仍有眾多的Android裝置陷於此一重大安全風險中。


新聞來源:https://www.ithome.com.tw/news/128669


評論:看來這次問題蠻嚴重的,畢竟點擊圖片就有可能中招,從上面附圖中也可看到這次漏洞嚴重性層級為critical(嚴重的、危急的)。雖然我知道HTC在安全性更新這方面不積極也不勤勞,但不知這次是否會為旗下所有安卓版本7.0(含)以上的手機提供安全性更新?

本文章最後由( Nicholas Lee 0911 )於 2019-2-11 22:15 編輯

回覆

使用道具 檢舉

3102

主題

1萬

文章

11萬

積分

7_神人

Rank: 9Rank: 9Rank: 9

積分
115678

Po文 101 Po文 501Po文 1001金牌發文手專業踹共特派記者看熱鬧消息包打聽論壇週年慶HTC其他型號新手鄉民專業鄉民模範鄉民新秀大大資深大大神人論壇兩週年勳章論壇三週年勳章論壇四週年勳章

2#
發表於 2019-2-12 21:24 | 只看該作者
希望後續可以針對該安全問題提出更新
回覆 支持 1 反對 0

使用道具 檢舉

264

主題

2862

文章

1萬

積分

4_模範鄉民

Rank: 4

積分
13752

Po文 101 專業踹共看熱鬧強者我朋友消息包打聽HTC其他型號新手鄉民專業鄉民模範鄉民論壇四週年勳章

3#
發表於 2019-2-12 22:32 | 只看該作者



這新聞太可怕了。。。。。。。。。。。。。。。。。。。。。。。。

希望 htc 能儘快更新安全性更新
HTC論壇五週年
‧★,:*::*‧°★*‧★,:*
回覆 支持 反對

使用道具 檢舉

您需要登入後才可以回覆 登入 | 立即註冊

本版積分規則

HTC community

GMT+8, 2024-11-23 02:48 , Processed in 0.125773 second(s), 28 queries .

Powered by Discuz! X3.1

© 2001-2013 Comsenz Inc.

快速回覆 返回頂部 返回列表