谷歌发布Android补丁2018.7 修复远程代码执行等重要漏洞

谷歌发布Android补丁2018.7 修复远程代码执行等重要漏洞

编程入门访客2021-10-11 18:00:005021A+A-

上周,谷歌发布了2018年7月的Android补丁,解决了流行的移动操作系统中的数十个漏洞。共解决了11个漏洞,包括3个关键问题和8个影响框架,媒体框架和系统的高风险漏洞。影响框架的最严重漏洞(CVE-2018-9433)可能被远程攻击者利用特制的pac文件在特权进程的上下文中执行任意代码。多个Android版本受到影响。

修复关键远程代码执行漏洞

关键漏洞是远程代码执行问题,其他缺陷包括信息泄露错误,拒绝服务和特权提升问题。

影响框架的最严重漏洞(CVE-2018-9433)可能被远程攻击者利用特制的pac文件在特权进程的上下文中执行任意代码。

“本节中最严重的漏洞可能使远程攻击者使用特制文件在特权进程的上下文中执行任意代码,”

系统(CVE-2018-9365)组件中最严重的漏洞可能被远程攻击者利用特制文件在特权进程的上下文中执行任意代码。

媒体框架组件(CVE-2018-9411)中最严重的漏洞可能被远程攻击者利用特制文件在特权进程的上下文中执行任意代码。

受影响版本

受影响的Android版本是Android 6.0,6.0.1,7.0,7.1.1,7.1.2,8.0和8.1。

作为2018-07-05安全补丁级别的一部分,Google还解决了总共32个漏洞,8个关键问题和24个被评为高风险。

这些漏洞影响内核(4个特权错误提升),Qualcomm(6个,1个关键RCE缺陷,1个高严重级RCE,2个高风险信息高风险问题和2个特权提升漏洞),以及Qualcomm闭源(22,7个关键问题和15个高风险漏洞)组件。

2018-07-01安全补丁级漏洞详细信息

框架

CVE References Type Severity Updated AOSP versions
CVE-2018-9433 A-38196219 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2018-9410 A-77822336 ID High 8.0, 8.1

媒体框架

CVE References Type Severity Updated AOSP versions
CVE-2018-9411 A-79376389 RCE Critical 8.0, 8.1
CVE-2018-9424 A-76221123 EoP High 8.0, 8.1
CVE-2018-9428 A-74122779 EoP High 8.1
CVE-2018-9412 A-78029004 DoS High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9421 A-77237570 ID High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

系统

CVE References Type Severity Updated AOSP versions
CVE-2018-9365 A-74121126 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9432 A-73173182 EoP High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9420 A-77238656 ID High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9419 A-74121659 ID High 7.0, 7.1.1, 7.1.2, 8.0, 8.1

2018-07-05安全补丁级漏洞详细信息

内核组件

CVE References Type Severity Component
CVE-2018-5703 A-73543437
Upstream kernel
EoP High IPV6 stack
CVE-2018-9422 A-74250718
Upstream kernel
EoP High futex
CVE-2018-9417 A-74447444*
Upstream kernel *
EoP High USB driver
CVE-2018-6927 A-76106267
Upstream kernel
EoP High futex

高通组件

CVE References Type Severity Component
CVE-2018-5872 A-77528138
QC-CR#2183014
RCE Critical WLAN
CVE-2018-5855 A-77527719
QC-CR#2181685
ID High WLAN
CVE-2017-13077, CVE-2017-13078 A-78285557
QC-CR#2133114
ID High WLAN
CVE-2018-5873 A-77528487
QC-CR#2166382
EoP High nsfs
CVE-2018-5838 A-63146462 *
QC-CR#2151011
EoP High OpenGL ES driver
CVE-2018-3586 A-63165135 *
QC-CR#2139538
QC-CR#2073777
RCE High ADSPRPC heap manager

高通闭源组件

这些漏洞会影响Qualcomm组件,并在相应的Qualcomm AMSS安全公告或安全警报中进一步详细说明。这些问题的严重性评估由Qualcomm直接提供。

CVE References Type Severity Component
CVE-2017-18171 A-78240792 * N/A Critical Closed-source component
CVE-2017-18277 A-78240715 * N/A High Closed-source component
CVE-2017-18172 A-78240449 * N/A High Closed-source component
CVE-2017-18170 A-78240612 * N/A High Closed-source component
CVE-2017-15841 A-78240794 * N/A High Closed-source component
CVE-2017-18173 A-78240199 * N/A High Closed-source component
CVE-2017-18278 A-78240071 * N/A High Closed-source component
CVE-2016-2108 A-78240736 * N/A Critical Closed-source component
CVE-2017-18275 A-78242049 * N/A High Closed-source component
CVE-2017-18279 A-78241971 * N/A High Closed-source component
CVE-2017-18274 A-78241834 * N/A High Closed-source component
CVE-2017-18276 A-78241375 * N/A High Closed-source component
CVE-2017-18131 A-68989823 * N/A High Closed-source component
CVE-2018-11259 A-72951265 * N/A Critical Closed-source component
CVE-2018-11258 A-72951054 * N/A High Closed-source component
CVE-2018-11257 A-74235874 * N/A Critical Closed-source component
CVE-2018-5837 A-74236406 * N/A High Closed-source component
CVE-2018-5876 A-77485022 * N/A Critical Closed-source component
CVE-2018-5875 A-77485183 * N/A Critical Closed-source component
CVE-2018-5874 A-77485139 * N/A Critical Closed-source component
CVE-2018-5882 A-77483830 * N/A High Closed-source component
CVE-2018-5878 A-77484449 * N/A High Closed-source component
原文:http://toutiao.secjia.com/article/page?topid=110473
点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 掩吻酒事2022-05-31 21:23:34
  • 特制的pac文件在特权进程的上下文中执行任意代码。“本节中最严重的漏洞可能使远程攻击者使用特制文件在特权进程的上下文中执行任意代码,”系统(CVE-2018-9365)组件中最严重的漏洞可能被远程攻击者利用特制文件在特权进程的上下文中执行任意代码。

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理