国内白帽子发现两个安卓漏洞,获得谷歌11

安全研究员报告了一个漏洞利用链,能够用来黑掉谷歌Pixel智能手机,为此,谷歌提供了112500美元的奖金。

2017年8月,360公司Alpha团队白帽子发现了新的漏洞利用链,上周谷歌披露了该漏洞技术细节。据悉,该白帽子是通过Android安全奖励(ASR)计划提交了两个漏洞CVE-2017-5116和CVE-2017-14904。

谷歌发布的分析显示:“该漏洞链包括两个漏洞,CVE-2017-5116和CVE-2017-14904。 CVE-2017-5116是一个V8引擎错误,用于在沙盒渲染过程中获得远程代码执行。 CVE-2017-14904是Android的libgralloc模块中的一个漏洞,用于Chrome的沙箱中。 通过访问Chrome中的恶意URL,这个漏洞利用链可以用来将任意代码注入到system_server中。”

利用该漏洞,攻击者可以在访问Chrome中的恶意URL时,将任意代码远程注入到system_server进程中。在遭受攻击的情况下,受害者可能被诱骗点击这样的恶意URL,进而彻底搞定他们的移动设备。

因为这个漏洞链,这位白帽子获得了105000美元奖励,他还通过Chrome Rewards计划获得了7500美元的额外奖金。Google解决了这个漏洞,作为谷歌Android 12月安全公告42个漏洞的一部分。

Pixel智能手机以及使用A/B更新的合作设备,都能够自动安全更新了来解决这个了漏洞。

“Android安全小组对我们的报告作出了快速反应,并在2017年12月的安全更新中包含了这两个漏洞的修复。受支持的Google设备和设备安全补丁级别为2017-12-05或更高版本,都可解决这些问题。”谷歌总结道。

迄今为止,ASR的总支出奖励超过了150万美元,最高研究团队凭借118个漏洞报告赚取了30万美元。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-01-24 09:46:00
大数据资讯 谷歌欲在法国建AI研发中心:并扩大办事处规模
据外媒报道,谷歌公司首席执行官桑达尔·皮查伊日前表示,谷歌将在法国建立新的人工智能技术研发中心,并扩大其位于巴黎的办事处。 <详情>
2018-01-23 17:14:53
大数据资讯 谷歌搞事情,最先被AI淘汰的居然是做AI的?
坊间流传着这么一个说法:谷歌想回中国,必须靠AI;而靠AI回中国,必须搞个大事情。于是,上周四的晚上李飞飞发布了一篇博客,然后连着发了三条推特,宣布一个叫AutoML的AI <详情>
2018-01-19 11:44:56
互联网 谷歌与腾讯达成专利交叉授权许可协议
今日,腾讯和谷歌宣布双方签署一份覆盖多项产品和技术的专利交叉授权许可协议。双方将以更开放和合作的态度,共同致力于用科技探索未来。 <详情>
2018-01-18 14:11:00
市场情报 《2017年人工智能行业发展研究报告白皮书》发布 以数洞见行业未来
2010年以来,基于深度学习的人工智能技术陆续在谷歌、Facebook、百度等顶尖互联网公司获得广泛应用;2016年,谷歌的战略重心已从“移动先行”全面转向“人工智能先行”;20 <详情>
2018-01-17 10:24:18
云资讯 谷歌明年建三条海底光缆拓展云业务 挑战亚马逊微软
2019年谷歌计划建设三条海底光缆,以帮助向新地区拓展云业务,从而更好地与亚马逊和微软竞争。 <详情>