安卓关键漏洞曝光数月后,三星、小米、谷歌等公司仍未进行修复

安卓关键漏洞曝光数月后,三星、小米、谷歌等公司仍未进行修复 谷歌披露了配备 Mali GPU 的手机存在的几个安全漏洞,例如配备 Exynos SoC 的手机。该公司的Project Zero团队表示,它在今年夏天将问题报告给了ARM (设计 GPU 的公司)。ARM 在 7 月和 8 月结束时解决了这些问题。然而,Project Zero 表示,截至本周早些时候,包括三星、小米、Oppo 和谷歌在内的智能手机制造商尚未部署补丁来修复这些漏洞。 研究人员在 6 月和 7 月发现了五个新问题,并立即将它们标记为 ARM。“其中一个问题导致内核内存损坏,一个导致物理内存地址被泄露给用户空间,其余三个导致物理页面释放后使用情况,”Project Zero 的 Ian Beer在一篇博文中写道。“这些将使攻击者能够在物理页面返回系统后继续读写物理页面。” 比尔指出,黑客有可能获得对系统的完全访问权限,因为他们能够绕过 Android 上的权限模型并获得对用户数据的“广泛访问”。攻击者可以通过强制内核将上述物理页面重新用作页表来实现。

相关推荐

封面图片

谷歌 Chromecast 曝光多个漏洞:允许攻击者安装流氓固件或间谍软件

谷歌 Chromecast 曝光多个漏洞:允许攻击者安装流氓固件或间谍软件 安全研究人员谷歌 Chromecast 中的一系列漏洞。利用这些漏洞,攻击者可以安装恶意固件或间谍软件。相关漏洞需要物理访问才能利用。另一个问题涉及与内置麦克风的配对遥控器相关的风险。攻击者可能会远程激活此麦克风,从而截获设备附近的音频。在今年第二季度收到这些漏洞的通知后,谷歌于本月安全更新。
封面图片

谷歌“快速分享”出现安全漏洞 新版本已修复

谷歌“快速分享”出现安全漏洞 新版本已修复 谷歌警告其“快速分享” (Quick Share) 软件中存在两处安全漏洞。这些漏洞影响 Android 和 Windows 版本,可能允许攻击者在未经用户同意的情况下向 Windows 计算机发送数据。漏洞 (CVE-2024-38272) 的 CVSS 评分为 7.1,允许攻击者绕过 Windows 版“快速分享”中的文件接受对话框。通常,当设置为“接收所有人”或“接收联系人”模式时“快速分享”需要用户确认才能接收文件。然而,这个漏洞使攻击者能够绕过这个安全措施。第二个漏洞 (CVE-2024-38271) 的 CVSS 评分为 5.9,可使恶意行为者能够在数据传输过程中充当中间人。谷歌目前已在“快速分享”最新版本 1.0.1724.0 中修复了这些漏洞。 、
封面图片

谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞

谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞 其中一个零日漏洞追踪编号为 CVE-2024-2887,主要存在于 WebAssembly(Wasm)开放标准中,是一个高严重性类型混乱漏洞。 安全专家 Manfred Paul 利用该漏洞制作了一个 HTML 页面,一旦用户感染,可以实现远程执行代码攻击。 第二个零日漏洞追踪编号为 CVE-2024-2886,在 CanSecWest Pwn2Own 竞赛的第二天被 KAIST 黑客实验室的 Seunghyun Lee 公布。 该漏洞属于 use-after-free 类型,主要存在于 WebCodecs API 中,而很多网页应用会调用该 API 编码、解码音频和视频内容,远程攻击者可利用该漏洞通过精心制作的 HTML 页面执行任意读 / 写操作。
封面图片

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】 6月7日消息,在6月5日的Chrome博客公告中,谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用,并发布了紧急安全更新作为回应。谷歌称,桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本,所有这些都将“在未来几天/几周内推出”。 公告称此次更新中包含两个安全修复程序,但实际上只有一个被详细说明:CVE-2023-3079。CVE-2023-3079是V8 JavaScript引擎中的类型混淆漏洞,且是谷歌Chrome 2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险,使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码,强烈建议用户及时更新浏览器以减轻潜在风险。
封面图片

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序,包括一个已知正在被利用的漏洞

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序,包括一个已知正在被利用的漏洞 该公司本周发布的紧急更新影响到其Chrome浏览器的近30亿用户,以及那些使用其他基于Chromium的浏览器,如微软Edge、Brave和Vivaldi。 这是谷歌今年不得不为Chrome浏览器发布的第三个此类紧急更新。 其中一个缺陷是一个被追踪为CVE-2022-1364的类型混淆漏洞,这是一个高严重性的零日漏洞,正被攻击者积极滥用。在类型混淆漏洞中,程序将使用一种类型分配资源,如指针或对象,但随后将使用另一种不兼容的类型访问该资源。在某些语言中,如C和C++,该漏洞会导致越界内存访问。 这种不兼容会导致浏览器崩溃或引发逻辑错误。它有可能被利用来执行任意代码。 theregister
封面图片

重要: 近日,谷歌发现 Chrome 浏览器存在一个严重的安全漏洞,该漏洞已经被黑客利用,可能导致用户的数据和电脑受到损害。为了

重要: 近日,谷歌发现 Chrome 浏览器存在一个严重的安全漏洞,该漏洞已经被黑客利用,可能导致用户的数据和电脑受到损害。为了解决这个问题,谷歌紧急推出了一个安全更新,并建议所有的 Chrome 用户尽快安装。 这个漏洞被命名为 CVE-2023-2033,是一个类型混淆漏洞,出现在 Chrome 浏览器使用的 V8 JavaScript 引擎中。简单来说,类型混淆漏洞是一种允许使用错误的类型访问内存的 Bug,从而导致越界读写内存。这个漏洞的危险之处在于,黑客可以制作一个恶意的 HTML 页面,利用堆内存的损坏来执行任意代码。 根据谷歌的威胁分析组(TAG)的报告,这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度,但谷歌将其定为“高”级别的问题,并在周五发布了一个公告,提醒用户注意。 来源:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人