Board logo

標題: [閒聊]Google愛找碴?別擔心,是幫你抓漏! [打印本頁]

作者: health101dr     時間: 2015-11-5 07:22 PM    標題: [閒聊]Google愛找碴?別擔心,是幫你抓漏!

三星上半年度旗艦機種的 Galaxy S6 Edge,被 Google 旗下的網路安全研究機構 Project Zero 揭露共有 11 個高安全性的漏洞,難道好不容易回到手機銷售首位的 Samsung,又要面臨另一個危機了嗎?

Google選定三星的旗艦機種Galaxy S6 Edge,並由北美和歐洲的Project Zero團隊進行為期一周的競賽,最後找出11項漏洞。Google的Project Zero小組公佈在三星最新手機Galaxy S6 Edge中發現到的11項高風險(high-impact)安全漏洞,這些問題主要集中在週邊設備驅動、影像處理上頭,可以讓惡意攻擊方透過三星內建的郵件 APP 來獲得手機內部的重要資料。Project Zero 表示,三星近期已透過線上推送更新的形式,解決了大部分的漏洞,剩餘的 3 個漏洞也將本月陸續補完。

Google安全研究人員Natalie Silvanovich指出,Project Zero過去都是針對Google自有Nexus手機進行安全研究,然而OEM的智慧型手機是Android研究的重要一環,因為OEM在Android上會加入其他程式碼,權限可能有高有低,而且可能不安全,且由其決定多久釋出安全更新。Google選定三星的旗艦機種Galaxy S6 Edge,並由北美和歐洲的Project Zero團隊進行為期一周的競賽,最後並找出11項漏洞。

其中CVE-2015-7888存在於WifiHs20UtilityService中的目錄穿越(directory traversal)漏洞,可將檔案寫入系統。這項服務會掃瞄/sdcard/Download/cred.zip目錄下的壓縮檔,並解壓縮。這項漏洞造成解壓縮檔案的API無法驗證檔案路徑,因而可能將檔案寫在意想不到的位置。一旦壓縮檔包含惡意程式,即可由此植入手機。

另一項是位於Samsung Email用戶端的CVE-2015-7889,會導致應用程式大量傳送指令,造成用戶信件被轉寄到其他帳號,進而讓不具權限的應用程式不當存取郵件內容,使資料外洩。另一項安全漏洞CVE-2015-7893則會讓攻擊者執行郵件中嵌入的JavaScript。此外,Google安全研究人員並發現三項驅動程式漏洞,以及五項圖形介面漏洞。

除了Galaxy S6 Edge之外,Project Zero 也曾經針對自家的 Nexus 手機、微軟 Windows 10 作業系統、蘋果 OS X 作業系統以及 Adobe 的應用程式進行漏洞查核,基本上找出的漏洞都會先通知原製造商或開發商加以修正,等到修正完畢後才會公佈出來,以保護正在使用中的消費者。


【101創業大小事/整理報導】


文章轉載自→http://www.101media.com.tw/content/yzlROTiWn7ztRlPdMoHDj2tB70ITvj




歡迎光臨 網際論壇 (http://centurys.net/) Powered by Discuz! 2.5