CVE-2019-2107:一个视频攻陷Android设备
小心!在Android设备上播放视频可能已成为一项危险的操作,因为在7.0到9.0版本的Android操作系统中存在一个高危的远程命令执行漏洞,CVE-2019-2107。
在带有Android原生视频播放器的设备上播放攻击者特制的视频,可能触发一个远程命令执行漏洞,让攻击者非法控制受害者的设备。该漏洞已被标记为CVE-2019-2107,影响了7.0到9.0版本的Android操作系统,潜在影响超过10亿台设备。
谷歌已经在2019年7月发布的Android安全公告中公布了这个漏洞,目前仍有海量设备在等待厂商发布补丁。
谷歌的安全建议中写道:“多媒体框架中最严重漏洞可能能使远程攻击者利用特殊设计的文件在高权限进程中执行任意命令”。
Android开发人员Marcin Kozlowski也发布了一个PoC视频来展示这个漏洞。
其中PoC主要涉及一个HEVC编码的视频,它能让攻击者破坏多媒体播放器,远程执行任意命令。
然而,需要注意的是,如果此类恶意视频是通过WhatsApp或Facebook Messenger等即时通讯应用接收的,或者托管在YouTube或Twitter等视频网站上的,则攻击将不会奏效。
Kozlowski在发布了PoC视频后也表示这个漏洞确实看起来很吓人,由于底层编解码器存在缺陷,导致攻击者通过特制视频就可接管设备。
为了防止这个漏洞被利用,用户必须下载最新的安全补丁来更新他们的Android系统。当然,同时也须避免从不可信的来源下载和播放视频。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/89027/hacking/android-rce-cve-2019-2107.html
最新评论