谷歌修補(bǔ)了兩個(gè)關(guān)鍵的安卓漏洞

谷歌LLC今年6月對(duì)其Android操作系統(tǒng)進(jìn)行了升級(jí)，包括對(duì)兩個(gè)關(guān)鍵漏洞的修復(fù)，這些漏洞可以讓黑客在受害者的移動(dòng)設(shè)備上遠(yuǎn)程部署惡意代碼。

谷歌每月發(fā)布針對(duì)Android的補(bǔ)丁，以緩解平臺(tái)中定期發(fā)現(xiàn)的安全問(wèn)題。周一發(fā)布的6月更新修復(fù)了34個(gè)缺陷。谷歌的Android安全團(tuán)隊(duì)將兩個(gè)遠(yuǎn)程代碼執(zhí)行問(wèn)題列為“關(guān)鍵”，今天在美國(guó)政府支持的多州信息共享和分析中心的一份報(bào)告中詳細(xì)說(shuō)明了這兩個(gè)問(wèn)題。

該報(bào)告稱，攻擊者可以利用這些漏洞遠(yuǎn)程攻擊目標(biāo)設(shè)備，“在處理媒體文件時(shí)，可以使用電子郵件、網(wǎng)頁(yè)瀏覽和彩信等多種方式”。根據(jù)與應(yīng)用程序相關(guān)的特權(quán)，攻擊者可以安裝程序;查看、更改或刪除數(shù)據(jù);或者創(chuàng)建具有完全用戶權(quán)限的新帳戶。”

這些漏洞會(huì)影響Android平臺(tái)8到11版本的系統(tǒng)組件，這是最近發(fā)布的三個(gè)版本。該組件還包含兩個(gè)其他安全性缺陷，其嚴(yán)重性較低，為“high”。根據(jù)谷歌的安全公告，后一個(gè)問(wèn)題已經(jīng)在6月份的更新中得到了解決。

在該補(bǔ)丁中解決的其他30個(gè)弱點(diǎn)中，大部分使用高通(Qualcomm Inc)零部件的智能手機(jī)都受到了影響。高通是主要的處理器供應(yīng)商，也是移動(dòng)表情芯片的最大制造商。其中兩個(gè)問(wèn)題也被列為關(guān)鍵問(wèn)題，但谷歌沒(méi)有提供詳細(xì)描述。

在此次更新之前，研究人員披露了StrandHogg 2.0的Android漏洞，該漏洞允許黑客通過(guò)劫持合法應(yīng)用程序來(lái)竊取受害者的數(shù)據(jù)。這一漏洞使得惡意軟件有可能在應(yīng)用程序的界面上放置一個(gè)巨大的保護(hù)層，攔截用戶輸入的密碼和其他輸入。谷歌在5月份發(fā)布了一個(gè)補(bǔ)丁。

谷歌并不直接向用戶推送安全更新，而是與Android手機(jī)制造商共享，后者負(fù)責(zé)為自己的設(shè)備打補(bǔ)丁。這家搜索巨頭至少在公開(kāi)披露漏洞前一個(gè)月通知合作伙伴，從而幫助消費(fèi)者更快地修復(fù)漏洞。下一個(gè)版本的Android, Android 11，有一個(gè)叫做干線項(xiàng)目的特性，旨在通過(guò)使用戶可以直接從游戲商店下載安全更新來(lái)進(jìn)一步加速補(bǔ)丁的發(fā)布。

蘋(píng)果公司(Apple Inc.)的競(jìng)爭(zhēng)對(duì)手iOS也會(huì)定期發(fā)現(xiàn)漏洞。就在本周，蘋(píng)果發(fā)布了一個(gè)針對(duì)最近發(fā)現(xiàn)的漏洞的緊急補(bǔ)丁，該漏洞使越獄iphone和ipad成為可能，可以安裝來(lái)自App Store以外來(lái)源的第三方軟件。