关于Google发布修复Android系统高危提权漏洞补丁的情况公告
近日,谷歌发布了紧急补丁,修复影响Android操作系统的高危特权提升漏洞。此前,国家信息安全漏洞共享平台(CNVD)收录了对应的Linux Kernel 'fs/pipe.c'存在多个本地内存破坏漏洞(CNVD-2016-01828,CVE-2015-1805)。本地非特权用户利用该漏洞可造成系统崩溃,或可提升系统权限。
一、漏洞情况分析
Linux Kernel是Linux操作系统的内核。Android是Google公司开发的基于Linux的开源操作系统。由于Linux内核和Android操作系统存在的底层技术关联性,该漏洞同时影响两个操作系统平台。
Linux kernel的vectored pipe读写功能实现存在内存破坏漏洞,原子访问操作失败后重试时,该功能未能考虑已经处理过的I/O vector,本地非特权用户利用此漏洞可造成系统崩溃,或提升系统权限。该漏洞可被用于攻击Android操作系统,本地恶意应用程序在内核中执行任意代码,可能造成本地设备永久性破坏,需要通过重新刷新操作系统来修复设备。CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响Linux Kernel <3.16的版本,进而影响运行相应内核版本的安卓系统。运行Linux内核版本3.18及以上版本不受该漏洞影响。
三、漏洞修复建议
Linux操作系统内核发布方已在发现漏洞的时候发布了修复补丁,Google公司为相关合作伙伴们提供了针对安卓系统提权漏洞的补丁,Nexus更新程序正在开发中。针对此问题的源代码补丁已经发布到Android开源项目(AOSP)资源库。CNVD建议用户关注厂商更新下载最新版本系统。
附:参考链接:
http://securityaffairs.co/wordpress/45507/hacking/android-cve-2015-1805-fixed.html
http://www.cnvd.org.cn/flaw/show/CNVD-2016-01828