安全研究
安全漏洞
谷歌安卓系统组件多个安全漏洞(CVE-2019-2099/CVE-2019-2098/CVE-2019-2102/CVE-2019-2097)
发布日期:2019-06-10
更新日期:2019-06-12
受影响系统:Google Android 9.0
Google Android 8.1
Google Android 8.0
Google Android 7.1.2
Google Android 7.1.1
Google Android 7.0
描述:
BUGTRAQ ID:
108554
CVE(CAN) ID:
CVE-2019-2099/CVE-2019-2098/CVE-2019-2102/CVE-2019-2097
谷歌Android容易出现多个安全漏洞。
攻击者可以利用这些问题执行任意代码或获得提升的权限。漏洞利用尝试失败可能导致拒绝服务条件。
CVE-2019-2099:在nfa_rw_act.cc的nfa_rw_store_ndef_rx_buf中,由于缺少边界检查,可能存在越界写入。这可能导致本地特权升级,而无需额外的执行权限。开发需要用户交互。
CVE-2019-2098:在NotificationManagerService.java的areNotificationsEnabledForPackage中,由于缺少权限检查,可能存在权限绕过。这可能导致本地特权升级,无需额外特权。利用不需要用户交互。
CVE-2019-2102:在蓝牙低功耗(BLE)规范中,提供了示例长期密钥(LTK)。如果BLE设备将其用作硬编码的LTK,理论上可能会由于密码使用不当而导致攻击者在配对的Android主机上远程注入击键。利用不需要用户交互。
CVE-2019-2097:在HAliasAnalyzer.Query的氢 - alias-analysis.h中,由于类型混淆,可能存在内存损坏。这可能导致从恶意代理配置远程执行代码,无需额外的执行权限。利用不需要用户交互。
<*来源:谷歌
链接:
https://source.android.com/security/bulletin/2019-06-01.html#media-framework
*>
建议:
厂商补丁:
Google
------
Google已经为此发布了一个安全公告()以及相应补丁:
:Android Security Bulletin—June 2019
链接:
https://source.android.com/security/bulletin/2019-06-01.html#media-framework
补丁下载:
浏览次数:3162
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |