總機:020-87516161 傳真:020-87516161-8040
地址:廣州市天河北路898號信源大廈3206-3211室 郵編:510660
安全公告編號:CNTA-2016-0012
近日,谷歌發布了緊急補丁,修復影響Android操作系統的高危特權提升漏洞。此前,國家信息安全漏洞共享平臺(CNVD)收錄了對應的Linux Kernel 'fs/pipe.c'存在多個本地內存破壞漏洞(CNVD-2016-01828,CVE-2015-1805)。本地非特權用戶利用該漏洞可造成系統崩潰,或可提升系統權限。
一、漏洞情況分析
Linux Kernel是Linux操作系統的內核。Android是Google公司開發的基于Linux的開源操作系統。由于Linux內核和Android操作系統存在的底層技術關聯性,該漏洞同時影響兩個操作系統平臺。
Linux kernel的vectored pipe讀寫功能實現存在內存破壞漏洞,原子訪問操作失敗后重試時,該功能未能考慮已經處理過的I/O vector,本地非特權用戶利用此漏洞可造成系統崩潰,或提升系統權限。該漏洞可被用于攻擊Android操作系統,本地惡意應用程序在內核中執行任意代碼,可能造成本地設備永久性破壞,需要通過重新刷新操作系統來修復設備。CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響Linux Kernel<3.16的版本,進而影響運行相應內核版本的安卓系統。運行Linux內核版本3.18及以上版本不受該漏洞影響。
三、漏洞修復建議
Linux操作系統內核發布方已在發現漏洞的時候發布了修復補丁,Google公司為相關合作伙伴們提供了針對安卓系統提權漏洞的補丁,Nexus更新程序正在開發中。針對此問題的源代碼補丁已經發布到Android開源項目(AOSP)資源庫。CNVD建議用戶關注廠商更新下載最新版本系統。
附:參考鏈接:
http://securityaffairs.co/wordpress/45507/hacking/android-cve-2015-1805-fixed.html