谷歌发布了紧急安全补丁来修复影响Android操作系统的特权提升漏洞CVE-2015-1805。
谷歌已经发布了紧急安全补丁来修复影响Android 操作系统设备内核的特权提升漏洞CVE-2015-1805。该漏洞属高危漏洞,可用于提升权限并在存在漏洞的设备上运行任意代码。
这个安全漏洞的年限已久,几年前就在upstream Linux内核中被发现,并于2014年4月被修复。但不幸的是,人们低估了该漏洞的危害性,直到上个月C0RE小组告知谷歌该漏洞可以被用于攻击Android操作系统。
所有未打补丁的运行内核版本3.4、3.10和3.14的安卓设备,包括所有的Nexus设备都很容易受到CVE-2015-1805漏洞的影响。同时,Linux内核版本3.18或更高版本的设备不会受到影响。
谷歌已经通过Verify Apps功能,从Google Play内部及外部,全方位的封锁了可能触发该漏洞的软件的安装。
谷歌咨询师表示:
“我们已经从Google Play内外部,全面地封锁了利用该漏洞的根应用的安装,通过使用Verify Apps以及更新了我们的系统来检测使用这个特殊漏洞的应用程序。为了有效地防御该漏洞,2016年3月16日,我们已经为合作伙伴们提供了针对该漏洞的补丁。Nexus更新程序正在开发中,未来几天内将会发布。针对此问题的源代码补丁已经发布到Android开源项目(AOSP)资源库。”
谷歌已经提醒相关用户,该漏洞可能会造成设备永久性破坏,在某些情况下,可能必须要重新刷新操作系统来删除恶意应用程序。
谷歌咨询师补充道:
“内核提升特权漏洞可能会使本地恶意应用程序在内核中执行任意代码。这种问题可能造成本地设备永久性破坏而且需要通过重新刷新操作系统来修复设备。”
谷歌正在积极进行Nexus更新工作,并会在未来几天内发布最新补丁,现在公司已经就该漏洞问题通知了其合作伙伴。
咨询师表示:
“关于该问题的源代码补丁已经发布到Android开源项目(AOSP)存储库。”
为减轻漏洞利用风险,用户应该及时更新补丁,以防范安全漏洞危害。
*原文地址: securityaffairs ,FB小编米雪儿编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)