谷歌修复CVE-2019-2232安卓DoS漏洞

12月,谷歌发布了安卓的安全更新,修复了15个安全漏洞和其他高通组件的22个漏洞。源码参见AOSP,谷歌称在1个月前就通知了合作厂商。

CVE-2019-2232

在这些修复的安全漏洞中,最严重的是安卓框架组件中的安全漏洞——CVE-2019-2232。该漏洞允许远程攻击者引发持续性的DoS攻击,导致安卓手机变砖。远程攻击者可以用精心伪造的无需用户交互的消息来触发该漏洞,漏洞原因是Unicode Handler组件和TextLine.java中的handleRun没有进行适当的输入有效性验证,引发无需用户权限的DoS攻击。该漏洞影响安卓8.0/8.1/9.0/10.0版本。但截至目前,该漏洞的技术细节还未公布。

CVE-2019-2222

该漏洞评级为critical(严重),影响ihevcd_parse_slice.c函数的ihevcd_parse_slice_data。由于缺乏边界检查,会导致函数写入分配的内存边界外。该漏洞会导致远程代码执行,但利用该漏洞需要用户交互。该漏洞影响的安卓版本包括8.0/8.1/9.0/10.0。

CVE-2019-2223

该漏洞与CVE-2019-2222漏洞类似,也是缺乏边界检查导致的跨界写漏洞,影响ihevcd_ref_list.c的ihevcd_ref_list。攻击者利用该漏洞可以在无需其他特殊权限的情况下远程执行代码。该漏洞影响的安卓版本包括8.0/8.1/9.0/10.0。

安全更新

具体各手机厂商的安全更新时间却决于设备厂商。好消息是目前没有这些漏洞在野利用的报告。三星称即将发布维护性的安全补丁,其中的补丁既包括来自谷歌的,也包括来自三星的。LG已经在开发12月的补丁,其中包含以上3各关键安全漏洞。谷歌称谷歌设备在1日就可以收到OTA更新,一般来说,每个谷歌设备都受到OTA更新需要1.5周左右。

本文翻译自:https://gbhackers.com/android-security-vulnerability/

推荐开通永久SVIP,享受极致用户体验!官方QQ交流群:859602620
您若发现我们未注明版权信息或侵权请您立即联系我们,我们将以最快的速度删除资源!
黑盟安全门户 » 谷歌修复CVE-2019-2232安卓DoS漏洞