網際論壇 - 笑話 / 閒聊 / 故事分享 - [閒聊]Google愛找碴?別擔心,是幫你抓漏!
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

作者:
標題: [閒聊]Google愛找碴?別擔心,是幫你抓漏! 上一主題 | 下一主題
  health101dr
  資深會員 
 



  積分 4970
  發文 501
  註冊 2015-2-10
  狀態 離線
#1  [閒聊]Google愛找碴?別擔心,是幫你抓漏!

三星上半年度旗艦機種的 Galaxy S6 Edge,被 Google 旗下的網路安全研究機構 Project Zero 揭露共有 11 個高安全性的漏洞,難道好不容易回到手機銷售首位的 Samsung,又要面臨另一個危機了嗎?

Google選定三星的旗艦機種Galaxy S6 Edge,並由北美和歐洲的Project Zero團隊進行為期一周的競賽,最後找出11項漏洞。Google的Project Zero小組公佈在三星最新手機Galaxy S6 Edge中發現到的11項高風險(high-impact)安全漏洞,這些問題主要集中在週邊設備驅動、影像處理上頭,可以讓惡意攻擊方透過三星內建的郵件 APP 來獲得手機內部的重要資料。Project Zero 表示,三星近期已透過線上推送更新的形式,解決了大部分的漏洞,剩餘的 3 個漏洞也將本月陸續補完。

Google安全研究人員Natalie Silvanovich指出,Project Zero過去都是針對Google自有Nexus手機進行安全研究,然而OEM的智慧型手機是Android研究的重要一環,因為OEM在Android上會加入其他程式碼,權限可能有高有低,而且可能不安全,且由其決定多久釋出安全更新。Google選定三星的旗艦機種Galaxy S6 Edge,並由北美和歐洲的Project Zero團隊進行為期一周的競賽,最後並找出11項漏洞。

其中CVE-2015-7888存在於WifiHs20UtilityService中的目錄穿越(directory traversal)漏洞,可將檔案寫入系統。這項服務會掃瞄/sdcard/Download/cred.zip目錄下的壓縮檔,並解壓縮。這項漏洞造成解壓縮檔案的API無法驗證檔案路徑,因而可能將檔案寫在意想不到的位置。一旦壓縮檔包含惡意程式,即可由此植入手機。

另一項是位於Samsung Email用戶端的CVE-2015-7889,會導致應用程式大量傳送指令,造成用戶信件被轉寄到其他帳號,進而讓不具權限的應用程式不當存取郵件內容,使資料外洩。另一項安全漏洞CVE-2015-7893則會讓攻擊者執行郵件中嵌入的JavaScript。此外,Google安全研究人員並發現三項驅動程式漏洞,以及五項圖形介面漏洞。

除了Galaxy S6 Edge之外,Project Zero 也曾經針對自家的 Nexus 手機、微軟 Windows 10 作業系統、蘋果 OS X 作業系統以及 Adobe 的應用程式進行漏洞查核,基本上找出的漏洞都會先通知原製造商或開發商加以修正,等到修正完畢後才會公佈出來,以保護正在使用中的消費者。


【101創業大小事/整理報導】


文章轉載自→http://www.101media.com.tw/content/yzlROTiWn7ztRlPdMoHDj2tB70ITvj


2015-11-5 07:22 PM
查看資料  發短消息   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: