谷歌发布紧急安全补丁,修复影响Android操作系统的权限提升漏洞CVE-2015-1805。
影响所有 Nexus 设备和部分 Android 设备
谷歌发布紧急安全补丁,修复影响Android操作系统设备内核的提权漏洞CVE-2015-1805。 该漏洞被认为是高严重性漏洞,可用于提升权限并在易受攻击的设备上运行任意代码。
这个安全漏洞由来已久,几年前就在上游 Linux 内核中被发现,并于 2014 年 4 月修补。不幸的是,人们低估了这个漏洞,直到上个月 C0RE 团队通知 Google 该漏洞可能被利用来攻击 Android 操作系统。
所有运行内核版本 3.4、3.10 和 3.14 的未打补丁的 Android 设备(包括所有 Nexus 设备)都容易受到 CVE-2015-1805 的影响。 同时修复系统漏洞软件,Linux内核版本3.18或更高版本的设备不会受到影响。
谷歌已使用“验证应用程序”功能全面阻止Google Play内部和外部安装可能触发此漏洞的软件。
谷歌顾问表示:
“我们通过使用验证应用程序并更新我们的系统来检测利用此特定漏洞的应用程序修复系统漏洞软件,全面阻止了 Google Play 内部和外部利用此漏洞的根应用程序的安装。为了有效防御此漏洞,2016 年截至2020年3月16日,我们已经向合作伙伴提供了针对该漏洞的补丁,Nexus更新正在开发中,将在未来几天内发布,该问题的源代码补丁已发布到Android开源平台项目(AOSP)资源库。”
谷歌已提醒相关用户,该漏洞可能会对设备造成永久性损坏,在某些情况下可能需要刷新操作系统才能删除恶意应用程序。
谷歌顾问补充道:
“内核特权提升漏洞可能允许本地恶意应用程序在内核中执行任意代码。此问题可能会对本地设备造成永久性损坏,并需要重新刷新操作系统来修复设备。”
谷歌正在积极致力于 Nexus 更新,并将在未来几天发布最新补丁,目前该公司已将该漏洞通知其合作伙伴。
顾问说:
“针对此问题的源代码补丁已发布到 Android 开源项目 (AOSP) 存储库。”
为降低漏洞利用风险,用户应及时更新补丁,防范安全漏洞。
*原文地址:securityaffairs,FB编辑Michelle编译,转载自FreeBuf黑客与极客(FreeBuf.COM)时请注明
