您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

Android存在與PNG相關漏洞

Google於2019/2釋出的Android安全更新中,修補3個涉及PNG檔案的重大漏洞,相關漏洞允許駭客在PNG檔案中植入惡意程式,用戶只要點擊PNG圖片就可能觸發漏洞,導致遠端程式攻擊。PNG檔案的全名為Portable Network Graphics,專為網路傳輸所設計的檔案格式,並準備用來取代GIF。根據Google的說明,本次更新最嚴重的安全漏洞藏匿在Android框架(Framework)中,允許遠端駭客透過特製的PNG檔案,在裝置上執行任意程式,包括CVE-2019-1986、CVE-2019-1987及CVE-2019-1988,波及從Android 7.0到Android 9的各種Android版本。這代表Android用戶只要點選可愛的貓、狗圖片,或是看起來無害的風景照,都可能遭到遠端程式攻擊。

Tripwire的安全研究人員Craig Young指出,相關漏洞與Android在描繪圖片之前如何進行解析有關,這些漏洞之所以存在是因為Android依然在特權流程(privileged context)中解析媒體檔案。Young認為,媒體處理是風險最高的活動之一,自動化的媒體解析不但應該保持在最低權限,也應該在隔離的環境中執行。儘管Google宣稱尚未發現駭客的攻擊行動,而且已將修補版本釋出至Android開源專案(Android Open Source Project, AOSP),但目前只有如Pixel等Google品牌的裝置可直接取得Google安全更新,至於其它品牌的手機或平板則仍得視裝置製造商或電信業者的更新時程才能取得修補,意謂仍有眾多的Android裝置陷於此一重大資安風險中。

Reference

資料來源:
https://siliconangle.com/2019/02/07/android-vulnerability-allows-hackers-hijack-device-using-png-file/
https://source.android.com/security/bulletin/2019-02-01.html
https://www.ithome.com.tw/news/128669
技術服務中心整理

Publish Date
2019/2/22 0:00:00