政府电脑保安事故协调中心 - 保安警报(A16-08-02): Android 多个漏洞

描述:

在内建 Qualcomm 晶片组的 Android 装置上，发现被称为「QuadRooter」的多个漏洞。在不需要特别权限下，攻击者可以透过恶意的流动应用程式攻击这些漏洞。

受影响的系统:

以下仅为一些采用 Qualcomm 晶片组Android 装置的例子。该列表并不包括所有受影响的装置，我们强烈建议你咨询 Android 电话供应商或装置生产商，以确定你的装置是否采用了受影响的晶片组:

BlackBerry Priv
Blackphone 1 及 2
Google Nexus 5X, 6 及 6P
HTC One M9 及 HTC 10
LG G4, G5, 及 V10
New Moto X by Motorola
OnePlus One, 2 及 3
Samsung Galaxy S7 及 S7 Edge
Sony Xperia Z Ultra

影响:

成功利用这些漏洞可以导致数据外泄、权限提升或全面控制有关装置。

建议:

针对所有「QuadRooter」漏洞，Google已向生产商提供修补程序作进一步测试及分发给其顾客的装置。当修补程序发布后，请立刻更新有关装置。请联络装置生产商以获取详情及关于修补程序的最新消息。

不要下载及安装不必要的流动程序。
不要从第三方或从非官方途径安装或下载 Android 流动程序(.APK files)。
当修补程序发布后，请立刻更新有关装置。

进一步信息:

https://source.android.com/security/bulletin/2016-09-01.html
https://www.hkcert.org/my_url/en/alert/16080901
http://blog.checkpoint.com/2016/08/07/quadrooter/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2059
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2503
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2504
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5340
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4653

标签 : Android , BlackBerry , Google Nexus , HTC , LG , Motorola , OnePlu , Samsung , Sony Xperia