2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
Google一直在與黑客尋求惡意利用其產(chǎn)品中的安全漏洞的斗爭。早在2014年年中,Google召集了一個名為“ 零項(xiàng)目 ” 的安全分析師小組,向公司報(bào)告零日漏洞 ,以便在任何惡意的第三方利用未公開的安全漏洞之前對其進(jìn)行修補(bǔ)。這種被稱為“ Rowhammer”漏洞的漏洞包括重復(fù)訪問一行內(nèi)存,以在相鄰內(nèi)存行中引起“ 位翻轉(zhuǎn) ”。此漏洞利用發(fā)生在某些DRAM設(shè)備中,即使在用戶空間進(jìn)程中,也可用于獲取對所有物理內(nèi)存的讀寫特權(quán)。
卡耐基梅隆大學(xué)和英特爾實(shí)驗(yàn)室的研究人員在2012-2013年制造的某些DRAM設(shè)備中披露了這種位翻轉(zhuǎn)漏洞利用。但是,當(dāng)時(shí),研究人員認(rèn)為,Rowhammer依賴于“機(jī)會硬件故障”,因此很難利用,因?yàn)?ldquo;機(jī)會硬件故障”大多通過改編某些高級內(nèi)存管理功能而被消除。但是在2015年3月,Google的“零號項(xiàng)目”討論了利用此DRAM漏洞 獲取內(nèi)核特權(quán)的可能方法,但是他們不確定此漏洞可在其他計(jì)算機(jī)或操作系統(tǒng)上使用的程度?,F(xiàn)在看來,可通過 名為“ Drammer”的新概念驗(yàn)證攻擊來利用LG,三星和摩托羅拉的各種Android設(shè)備。 新攻擊演示了一種可靠的方法,該方法無需任何權(quán)限即可從用戶空間應(yīng)用程序獲得root用戶訪問權(quán)限。
負(fù)責(zé)概念驗(yàn)證的安全研究人員之一Victor van der Veen表示,沒有可以保護(hù)用戶免受此類攻擊的“快速軟件更新”。盡管攻擊并非在所有經(jīng)過測試的設(shè)備上都完全一致,但是利用漏洞的成功率仍然令人擔(dān)憂。到目前為止,研究人員已經(jīng)表示,他們能夠?qū)Ω?的Nexus 4,Nexus 5上,LG G4,2013,Moto G的,2014,Moto G的,銀河S4,銀河S5,以及萬普拉斯一個。為了讓您了解漏洞利用的一致性,團(tuán)隊(duì)聲明他們能夠?qū)⒙┒创蛉?5個漏洞中的12個他們測試過的Nexus 5智能手機(jī)。另一方面,該團(tuán)隊(duì)只能成功利用他們可以測試的兩部三星Galaxy S5智能手機(jī)中的一部。
該小組已于今年7月向Google披露了該漏洞利用程序,并為此獲得了4,000美元的獎勵。自那時(shí)以來,Google一直在致力于修補(bǔ)此嚴(yán)重漏洞,并告知Android OEM如何修補(bǔ)其設(shè)備。據(jù)說將在11月的安全更新中包含對該漏洞進(jìn)行修補(bǔ)的更新。對于那些設(shè)備無法接收11月安全更新的人,研究人員指出,他們將在Play商店中發(fā)布應(yīng)用程序,以便您可以測試設(shè)備是否容易受到攻擊。
該小組甚至將視頻上傳到Y(jié)ouTube,以演示在運(yùn)行Android 6.0.1的Nexus 5上發(fā)生的黑客攻擊以及最新的10月安全補(bǔ)丁程序。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。