攻击者宣称可利用新漏洞完全控制 Android 手机
谷歌 ProjectZero 研究小组(ProjectZero Research Group)一名成员周四晚表示,攻击者正在利用谷歌Android移动操作系统中的 0 day 漏洞,使他们完全控制至少18种不同手机,包括4种不同型号的谷歌Pixel手机。
ProjectZero 项目成员Maddie Stone在帖子中说,有证据表明漏洞利用者NSO Group或其客户之一正在积极利用该漏洞。漏洞利用几乎不需要定制即可完全扎根易受攻击的手机。可以通过两种方式利用此漏洞:
(1)当目标安装不受信任的应用程序时,
(2)通过将此漏洞与针对Chrome浏览器用于呈现内容代码的漏洞攻击结合使用。
Maddie Stone表示,该漏洞是一个本地特权提升漏洞,它可以完全破坏易受攻击的设备,受此漏洞影响的设备如下:
- Pixel 1
- Pixel 1 XL
- Pixel 2
- Pixel 2 XL
- 华为 P20
- 红米5A
- 红米 Note 5
- 小米A1
- Oppo A3
- Moto Z3
- Oreo LG phones
- 三星 S7
- 三星 S8
- 三星 S9
谷歌Android团队表示,谷歌10月Android安全更新将修补此漏洞,该更新可能会在未来几天内发布给Pixel系列手机用户。修补其他设备的时间表尚不清楚。 Pixel 3和Pixel 3a设备不受影响。
Google代表在一封电子邮件中写道:“ Pixel 3和3a设备不容易受到此问题的影响,谷歌10月Android安全更新将为Pixel 1和2修补此漏洞,该版本将在未来几天内交付给客户。此外,已经为合作伙伴提供了补丁,以确保保护Android生态系统免受此问题侵害。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
更新 Windows 10,用户将被迫创建微软账户?
最近在reddit论坛上,有一个帖子引起热烈地讨论,有网友发现在最新版的 Windows 10安装过程中,“使用脱机账户”的选项被微软移除了。这意味着用户必须输入电话/邮箱,使用在线账户,才能走完安装流程。 具体情况是,用户在安装Windows 10 1903过程中,按照屏幕出现的提示信息操作,首先选择地区,然后联网、同意许可协议......,接着就到了登录,登录页面要求输入账户,因为没有账户,所以选择输入框最下角的“创建账户”,在“创建账户”的页面上,要求输入电话号码或者电子邮箱,却没有注册脱机账户的选项。大多数用户顺着这样的更新步骤就走进的死胡同,而回到登录页面的“了解更多”,也写得很清楚,“必须注册一个微软账户,完成 Windows设置”。因为这样的更改,微软遭到论坛上网友的吐槽。 情况真的是这样吗? 其实,在开始安装的时候,用户可以将他们的设备设置为飞行模式,以禁用 Wi-Fi或者断开网络电缆,确保不会连接到互联网,而当出现连接到网络的选项时,选择“我没有 Internet 连接”,然后点击“继续进行有限设置”,在此之后,将能看到一个创建脱机帐户的选项。 “脱机帐户”选项只是简...
- 下一篇
Chrome 将不再允许 https:// 页面加载 HTTP 资源
Chrome 安全小组近日在一篇博客文章中表示,计划使 https:// 页面不再加载 HTTP 子资源。 根据 Google 的说法,Chrome 用户现在在所有主要平台上的 HTTPS上花费了 90% 以上的浏览时间。但是,那些安全页面加载不安全的 HTTP 子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe 与媒体文件。 从今年 12 月开始测试的Chrome 79 开始,Chrome 将会逐步阻止所有混合内容。到 2020 年 1 月,Chrome 80 会将所有混合音频和视频资源自动升级为 HTTPS,如果无法通过 HTTPS 加载,则将自动被阻止。最终,在 2020 年 2 月,Chrome 81 将所有混合图像、音频与视频自动升级为 HTTPS,并且阻止那些无法通过 HTTPS 加载的图像。 同时,Chrome 79 中还将添加一个新设置项,用户可以用来取消阻止特定站点上的混合内容。 这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。 类似的措施,此...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Red5直播服务器,属于Java语言的直播服务器
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装Docker,最新的服务器搭配容器使用