Android漏洞允許遠端攻擊者通過精心製作的PNG檔案來控制裝置

如果你覺得開啟一個圖片應該沒有任何安全問題，那麼這篇文章可能會讓你改變之前的觀點。攻擊者只需要建立一個PNG格式的圖片，其中包含啟動攻擊的特定程式碼。此問題是“Framework中的一個重要安全漏洞，可能允許遠端攻擊者使用特製的PNG檔案在特權程序的上下文中執行任意程式碼。嚴重性評估基於利用此漏洞可能對受影響裝置產生的影響，假設平臺和服務緩解措施已關閉以用於開發目的或成功繞過。

可被利用的漏洞主要影響Android 7.0~9.0。目前，Google已經向Android開源專案釋出了安全更新 。該公司沒有透露漏洞的詳細資訊，但據說Android框架中存在一個漏洞，允許攻擊者在特權程序上執行程式碼。直接結果是攻擊者可以獲得系統的最高許可權來直接控制整個裝置。

儘管Google已釋出此漏洞概述並進行了安全更新，但Google尚未披露任何可能減輕漏洞的技術細節或其他方法。考慮到大多數Android裝置更新緩慢甚至沒有更新，一旦黑客通過補丁逆向工程找到漏洞的詳細資訊，後果是不可想象的。不幸的是，沒有潛在的緩解方法意味著使用者可能會受到此漏洞的攻擊。

當然，如果能夠更新的使用者最好儘早更新，那麼選擇購買Android裝置時經常更新的製造商非常重要。

更多Android相關資訊見 Android 專題頁面 https://www.linuxidc.com/topicnews.aspx?tid=11

Linux公社的RSS地址 ：https://www.linuxidc.com/rssFeed.aspx

本文永久更新連結地址：https://www.linuxidc.com/Linux/2019-02/156841.htm