新的StepFright利用将数百万Android设备造成风险
RBS测试索赔区块链可以取代英国更快的付款银行清算计划
中小企业是东盟安全的阿基里斯脚跟
近三分之二的美国办公室工作人员不知道赎金软件威胁
新的Chromebook有一个翻转屏幕
CIO采访:Chris White,Clyde&Co
Crowdstrike说,威胁情报键对抗网络犯罪
逮捕Facebook Exec,现在释放,在巴西举起辩论
Microsoft通过Fledgling Edge Extensions重新加入浏览器战争
Rubrik Backup Appliance将物理平台添加到混合云中
Google提供应用程序,以帮助公司评估其供应商的安全性
企业与欧盟 - 美国数据传输不确定性奋斗
Apple iPhone Se Rumors在这里,微小的手
厨师想要破坏Devops工作流程
Mod推出800万英镑未来派技术基金
FBI表示可能已经找到了解锁射击的iPhone的方法
Spacex Rocket Explosion是Facebook Internet项目的挫折
虚拟现实刚刚认真,你应该关注
Talktalk Overhauls宽带包挑战竞争对手
汇丰业务客户可以用Selfie打开帐户作为ID
2016年最佳vmworld欧洲用户奖:候选名单宣布
32中小企业赢得DigitalHealth.London加速器计划
Bad Windows 10 Xbox One Controller驱动器强制Microsoft的手
国家网络安全中心BOSS计划扩大DNS过滤器
艾伦图灵研究所确保了Microsoft云投资500万美元
新加坡模型在3D与智能地图上的整个国家
Microsoft在Office 2016中添加宏锁定功能,以响应越来越多的攻击
Apple iPad Pro变小,说深喉咙 - 发布日期3/15
澳大利亚的低成本闪存存储需求上升
ARM扩展物联网安全团队
人们在紧急情况下信任这个机器人,即使它导致他们误入歧途
英国将维持欧洲宽带领导力,直到2020年
惠普在新办公室打印机中使用专有墨水将激光打印放入通知
AMD用集成的GPU运送最快的桌面芯片
Apple的品牌感知,公众与FBI有关
惠普在新办公室打印机中使用专有墨水将激光打印放入通知
英国国家网络安全中心设为推出
Oppo为其未来的智能手机展示了快速的充电
Splunk与技能短缺 - 试图帮助组织获得合适的技能
英国国家网络安全中心设为推出
制造商必须转移到更智能的软件到Stem Smartphone拒绝
GDS丢失了另一位高级管理人员,验证了GANET HUGHES
HPE在CeBIT显示了头像展位
谷歌WOOS企业营销商,具有新的分析套房
即使iPhone听到推迟,我们仍将推动加密解决方法
GDS丢失了另一位高级管理人员,验证了GANET HUGHES
谷歌WOOS企业营销商,具有新的分析套房
即使iPhone听到推迟,我们仍将推动加密解决方法
研究人员说,IoT安全威胁是真实的
法国出版商正在Web Freeloaders上破解
您的位置:首页 >电子新品 >

新的StepFright利用将数百万Android设备造成风险

2021-06-23 14:44:26 [来源]:

在研究人员找到一种新的方式以利用以前由Google修补的较旧漏洞的新方法,数百万台Android设备尚未出现风险。

基于以色列的Herzliya的北向北发表了一篇概述的隐喻,这是一个绰号,一个绰号,他们在StandFright,Android的SediaServer和多媒体库中找到了一个新的弱点。

北北人表示,该攻击对运行Android版本2.2至5.0和5.1的设备有效。

该公司表示,它的攻击在Google“S Nexus 5中最适合股票ROM,并且对HTC的一个,LG”S G3和三星S5的一些修改。

该攻击是为CVE-2015-3864开发的其他开发的攻击,一个远程代码执行漏洞由Google修补两次。

安全公司Zimperium在2015年初发现了原始的StageFright缺陷,影响了数百万设备。谷歌已经不得不多次发出补丁和修复研究人员继续找到的STAINFRIGHT的问题。

Zuk Avraham,CTO和Zimperium的创始人通过电子邮件发送了他的公司扣除了第二次利用它为StageFright而开发的,由于它提出的风险以及仍然受到影响的大量设备。

但是,北北方的研究论文“为专业的黑客团体提供了足够的细节,以完成充分的工作和可靠的利润,”他说。

Northbit发布了一个成功攻击的视频,这需要一些社会工程。必须欺骗受害者单击一个链接,然后在漏洞运行时留在该网页上。爆炸性可以在几秒钟内需要花费几秒钟即可完成其工作。

在视频中,正在使用Nexus 6的受害者打开一个通往猫照片的链接,而Northbit展示了漏洞的漏洞。

在Android版本5.0和5.1上,漏洞利用将绕过ASLR(地址空间布局随机化),旨在使利用更加困难。

北向北估计约235,000,000个Android设备运行版本5.0和5.1,大约40,000,000台设备运行了一些2.x版本的Android,没有ASLR。

“看着这些数字,很难理解有多少设备潜在脆弱,”北北北·写道。

部分是为了响应StepFight构成的危险,谷歌在八月表示,它将转移到每月修补计划,并与主要的Android供应商更接近,以确保更新修补。

谷歌可能会很快发出补丁,在电子邮件中写下Veracode的Research副总裁Chris Eng。但是StageFight补丁的分布已经存在。

“修补应用程序漏洞对Android社区具有不同的制造商和运营商的数量尤其具有挑战性,因此负责向设备发出补丁的责任,”eng说。

谷歌无法立即达成评论。

(CSO的Steve Ragan为此报告做出了贡献。)

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。