国内白帽子发现两个安卓漏洞,获得谷歌11

安全研究员报告了一个漏洞利用链,能够用来黑掉谷歌Pixel智能手机,为此,谷歌提供了112500美元的奖金。

2017年8月,360公司Alpha团队白帽子发现了新的漏洞利用链,上周谷歌披露了该漏洞技术细节。据悉,该白帽子是通过Android安全奖励(ASR)计划提交了两个漏洞CVE-2017-5116和CVE-2017-14904。

谷歌发布的分析显示:“该漏洞链包括两个漏洞,CVE-2017-5116和CVE-2017-14904。 CVE-2017-5116是一个V8引擎错误,用于在沙盒渲染过程中获得远程代码执行。 CVE-2017-14904是Android的libgralloc模块中的一个漏洞,用于Chrome的沙箱中。 通过访问Chrome中的恶意URL,这个漏洞利用链可以用来将任意代码注入到system_server中。”

利用该漏洞,攻击者可以在访问Chrome中的恶意URL时,将任意代码远程注入到system_server进程中。在遭受攻击的情况下,受害者可能被诱骗点击这样的恶意URL,进而彻底搞定他们的移动设备。

因为这个漏洞链,这位白帽子获得了105000美元奖励,他还通过Chrome Rewards计划获得了7500美元的额外奖金。Google解决了这个漏洞,作为谷歌Android 12月安全公告42个漏洞的一部分。

Pixel智能手机以及使用A/B更新的合作设备,都能够自动安全更新了来解决这个了漏洞。

“Android安全小组对我们的报告作出了快速反应,并在2017年12月的安全更新中包含了这两个漏洞的修复。受支持的Google设备和设备安全补丁级别为2017-12-05或更高版本,都可解决这些问题。”谷歌总结道。

迄今为止,ASR的总支出奖励超过了150万美元,最高研究团队凭借118个漏洞报告赚取了30万美元。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 10:19:00
云资讯 谷歌牵手VMware将虚拟化工作负载引入谷歌云
彭博社报道称,谷歌与VMware正在展开合作,帮助企业更轻松地在Google Cloud Platform上运行VMware vSphere虚拟化软件和网络工具。 <详情>
2019-07-31 09:52:00
云资讯 谷歌与戴尔旗下云计算公司VMware建立新合作 试图追赶竞争对手
据国外媒体报道,当地时间周一,谷歌宣布与戴尔旗下的云计算公司VMware建立新的合作伙伴关系,帮助更多企业迁移到云端,从而试图追赶其竞争对手。 <详情>
2019-07-31 09:24:00
互联网 谷歌公布6个重大iOS漏洞:可通过iMessage发动攻击
据美国科技媒体ZDNet报道,谷歌旗下安全团队Project Zero的两名成员日前公布了影响iOS系统的6个“无交互”安全漏洞中其中5个的详细信息和演示用攻击代码。 <详情>
2019-07-30 13:24:35
云技术 云计算之三国风「云」
云一直是微软、亚马逊、谷歌三位巨头争夺的主战场。在华尔街看来,该业务似乎将事关公司未来发展。 <详情>
2019-07-30 10:01:53
云资讯 VMware与谷歌达成新合作 为企业客户向云平台迁移提供便利
谷歌刚刚宣布了与 VMware 达成新的合作,以帮助更多企业顺利迁移到云端。今日的公告称,两家公司将让企业更轻松地 Google Cloud 上运行 VMware 。具体说来是,谷歌云平台现 <详情>