互联家居网 设为首页 - 加入收藏
广告位
当前位置: 主页 > 热点 >

去年9月向谷歌提交的400多个漏洞一直拖到今年年底才修复完

2022-01-03 19:54 [热点] 来源于:IT之家  阅读量:16684   
导读:去年9月向谷歌提交的400多个漏洞,一直拖到今年年底才修复完而且还不是一般的小漏洞,是让市面所有活着的安卓设备变砖头的高危漏洞 这些漏洞由复旦大学计算机学院的一位教授杨珉与他的同事们一起整理提交。 杨珉教授公开了几封与安卓安全团队之...

去年 9 月向谷歌提交的 400 多个漏洞,一直拖到今年年底才修复完而且还不是一般的小漏洞,是让市面所有活着的安卓设备变砖头的高危漏洞

去年9月向谷歌提交的400多个漏洞一直拖到今年年底才修复完

这些漏洞由复旦大学计算机学院的一位教授杨珉与他的同事们一起整理提交。

杨珉教授公开了几封与安卓安全团队之间的往来邮件,表示自漏洞提交到被谷歌修复以来,不知道收到了多少次 Delay:

嗯,就像是这样的:

不幸的是,为了确保这个漏洞在发布前被完全解决,问题的修复被推迟了。

图源微博 杨珉_复旦大学

杨珉教授还吐槽到,本来谷歌团队是要在 2 个月内修复的,但事实是:

在不引入兼容性问题的前提下,开发一个解决该问题的修复方案所需的时间比预期的要长。减少添加糖的食物的消费,避免含糖饮料,禁止饮酒;减少食用高脂肪,高钠或加工食品;。

因此,谷歌暂定于 2021 年 11 月份发布。

图源微博 杨珉_复旦大学

啊这 到底是什么样的漏洞,让谷歌也犯起了拖延症

跨年漏洞

根据杨珉教授自己的介绍,这 400 多个漏洞都是根据他们基于 Android 系统资源管理机制的系统性研究而发现的。

所有使用安卓代码的厂商都将受到这一漏洞的影响。

相关的研究成果已整理成论文《Exploit the Last Straw That Breaks Android Systems》,被网络安全顶会 IEEE Samp,P 2022 收录:

从文章的摘要来看,这是一种名为 Straw 的与数据储存过程有关的设计缺陷。

这一缺陷可通过 77 个系统服务影响 474 个相关接口,并因此生成 Straw 漏洞。

而 Straw 漏洞可能导致各种临时或永久的 DoS 攻击,造成非常严重的后果,比如使用户的安卓设备永久崩溃。

杨珉教授和其同事将这一漏洞报告给安卓安全团队,谷歌将其评为高严重级。

之后的事情我们就知道了:谷歌一拖再拖,直到 16 个月之后的今年年底,终于发来了一封问题补丁即将公布的邮件:

图源微博 杨珉_复旦大学

在邮件中提到,这个漏洞的 CVE ID 为 CVE—2021—0934。

谷歌安卓安全团队

历经 16 个月,高危漏洞终于被修复。不用担心自己手里的安卓机突然变砖固然是好,但也有网友吐槽到:

谷歌你到底行不行啊。

说好的还要再筹建一支新的 Android 安全团队,来进一步加速发现和修复 Bug 的过程呢。

还有 5 个月前刚刚搞的平台 Google Bug Hunters,整了一个 Bug 猎人排行榜,就是为了鼓励更多人找 Bug:

看起来确实有不少激励作用,安卓安全团队的致谢名单自 2018 年起就变成了按月列出。

翻开最近 12 月份的致谢名单,国人工程师还不少。

不仅有来自 360,阿里巴巴,字节跳动,清华大学的工程师,还有一些国内的个人开发者:

不过,在鼓励开发者和白帽子们找 Bug 的同时,还是希望谷歌能在新的一年改掉拖延症吧。

参考链接:

郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。

(编辑:叶知秋)

广告位
广告位