政府電腦保安事故協調中心 - 保安警報(A16-08-02): Android 多個漏洞

描述:

在內建 Qualcomm 晶片組的 Android 裝置上，發現被稱為「QuadRooter」的多個漏洞。在不需要特別權限下，攻擊者可以透過惡意的流動應用程式攻擊這些漏洞。

受影響的系統:

以下僅為一些採用 Qualcomm 晶片組Android 裝置的例子。該列表並不包括所有受影響的裝置，我們強烈建議你諮詢 Android 電話供應商或裝置生產商，以確定你的裝置是否採用了受影響的晶片組:

BlackBerry Priv
Blackphone 1 及 2
Google Nexus 5X, 6 及 6P
HTC One M9 及 HTC 10
LG G4, G5, 及 V10
New Moto X by Motorola
OnePlus One, 2 及 3
Samsung Galaxy S7 及 S7 Edge
Sony Xperia Z Ultra

影響:

成功利用這些漏洞可以導致資料外泄、權限提升或全面控制有關裝置。

建議:

針對所有「QuadRooter」漏洞，Google已向生產商提供修補程式作進一步測試及分發給其顧客的裝置。當修補程式發布後，請立刻更新有關裝置。請聯絡裝置生產商以獲取詳情及關於修補程式的最新消息。

不要下載及安裝不必要的流動程式。
不要從第三方或從非官方途徑安裝或下載 Android 流動程式(.APK files)。
當修補程式發布後，請立刻更新有關裝置。

進一步資訊:

https://source.android.com/security/bulletin/2016-09-01.html
https://www.hkcert.org/my_url/en/alert/16080901
http://blog.checkpoint.com/2016/08/07/quadrooter/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2059
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2503
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2504
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5340
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4653

標籤 : Android , BlackBerry , Google Nexus , HTC , LG , Motorola , OnePlu , Samsung , Sony Xperia