谷歌发布了Android 月度安全公告。封闭的安全漏洞将包含在即将发布的 5 月补丁中,并且已经直接应用于 Pixel 设备,并希望很快应用于其他设备。我们希望填补一些关键空白。这些差距在Android 7.0及以上版本中都存在。
通常,媒体框架存在漏洞,可能允许本地恶意应用程序作为特权进程的一部分执行任意代码。这句话多半是一句玩笑话。因为我不明白谷歌为什么找不到解决方案,但每个月仍然遇到这个错误。也许您不想再调整文本,只需更新各个 CVE。据谷歌称,目前还没有关于该漏洞被利用的报告。
除了公开的差距之外,还有一些来自高通的闭源组件,但这里还没有公开。
顺便说一句,Pixel 当然会打补丁,但谷歌目前尚未提及任何具体的变化或创新。
框架
此部分中的漏洞可能允许恶意本地应用程序绕过用户交互要求以访问其他权限。
| CVE | 参考 | 类型 | 严重程度 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2019-2043 | A-120484087 | 环氧乙烷 | 适度 | 7.0、7.1.1、7.1.2、8.0、8.1、9 |
媒体框架
此部分中的漏洞可能允许远程攻击者通过特制文件在特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重程度 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2019-2044 | A-123701862 | 远程代码执行 | 致命 | 7.0、7.1.1、7.1.2、8.0、8.1、9 |
系统
本节中最严重的漏洞可能允许远程攻击者使用特制的 PAC 文件在特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重程度 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2019-2045 | A-117554758 | 远程代码执行 | 致命 | 7.0、7.1.1、7.1.2、8.1、9 |
| CVE-2019-2046 | A-117556220 | 远程代码执行 | 致命 | 7.0、7.1.1、7.1.2、8.0、8.1、9 |
| CVE-2019-2047 | A-117607414 | 远程代码执行 | 致命 | 7.0、7.1.1、7.1.2、8.0、8.1、9 |
| CVE-2019-2049 | A-120445479 | 环氧乙烷 | 昂贵的 | 9 |
| CVE-2019-2050 | A-121327323 | 环氧乙烷 | 昂贵的 | 8.0、8.1、9 |
| CVE-2019-2051 | A-117555811 | ID | 昂贵的 | 7.0、7.1.1、7.1.2、8.0、8.1、9 |
| CVE-2019-2052 | A-117556606 | ID | 昂贵的 | 7.0、7.1.1、7.1.2、8.1、9 |
| CVE-2019-2053 | A-122074159 | ID | 昂贵的 | 7.0、7.1.1、7.1.2、8.0、8.1、9 |
