谷歌修補了兩個關(guān)鍵的安卓漏洞

谷歌LLC今年6月對其Android操作系統(tǒng)進行了升級，包括對兩個關(guān)鍵漏洞的修復(fù)，這些漏洞可以讓黑客在受害者的移動設(shè)備上遠程部署惡意代碼。

谷歌每月發(fā)布針對Android的補丁，以緩解平臺中定期發(fā)現(xiàn)的安全問題。周一發(fā)布的6月更新修復(fù)了34個缺陷。谷歌的Android安全團隊將兩個遠程代碼執(zhí)行問題列為“關(guān)鍵”，今天在美國政府支持的多州信息共享和分析中心的一份報告中詳細說明了這兩個問題。

該報告稱，攻擊者可以利用這些漏洞遠程攻擊目標設(shè)備，“在處理媒體文件時，可以使用電子郵件、網(wǎng)頁瀏覽和彩信等多種方式”。根據(jù)與應(yīng)用程序相關(guān)的特權(quán)，攻擊者可以安裝程序;查看、更改或刪除數(shù)據(jù);或者創(chuàng)建具有完全用戶權(quán)限的新帳戶?！?/p>

這些漏洞會影響Android平臺8到11版本的系統(tǒng)組件，這是最近發(fā)布的三個版本。該組件還包含兩個其他安全性缺陷，其嚴重性較低，為“high”。根據(jù)谷歌的安全公告，后一個問題已經(jīng)在6月份的更新中得到了解決。

在該補丁中解決的其他30個弱點中，大部分使用高通(Qualcomm Inc)零部件的智能手機都受到了影響。高通是主要的處理器供應(yīng)商，也是移動表情芯片的最大制造商。其中兩個問題也被列為關(guān)鍵問題，但谷歌沒有提供詳細描述。

在此次更新之前，研究人員披露了StrandHogg 2.0的Android漏洞，該漏洞允許黑客通過劫持合法應(yīng)用程序來竊取受害者的數(shù)據(jù)。這一漏洞使得惡意軟件有可能在應(yīng)用程序的界面上放置一個巨大的保護層，攔截用戶輸入的密碼和其他輸入。谷歌在5月份發(fā)布了一個補丁。

谷歌并不直接向用戶推送安全更新，而是與Android手機制造商共享，后者負責(zé)為自己的設(shè)備打補丁。這家搜索巨頭至少在公開披露漏洞前一個月通知合作伙伴，從而幫助消費者更快地修復(fù)漏洞。下一個版本的Android, Android 11，有一個叫做干線項目的特性，旨在通過使用戶可以直接從游戲商店下載安全更新來進一步加速補丁的發(fā)布。

蘋果公司(Apple Inc.)的競爭對手iOS也會定期發(fā)現(xiàn)漏洞。就在本周，蘋果發(fā)布了一個針對最近發(fā)現(xiàn)的漏洞的緊急補丁，該漏洞使越獄iphone和ipad成為可能，可以安裝來自App Store以外來源的第三方軟件。