记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

谷歌也超漏洞时间表 安卓Wifi直连漏洞细节被披露

2015-02-02 15:45

Android Wi-Fi Direct Vulnerability Details Disclosed

谷歌一直以来就一个影响众多安卓移动设备漏洞的严重性与安全厂商核心安全(Core Security)争论不休,后者终于在上周公布了该漏洞的细节。

这个问题早在去年9月26日就报告给了安卓的安全团队,但双方在随后的沟通中,在该漏洞的严重性上发生了争论,直到上周核心安全对其进行了披露。核心安全在其报告中曾三次知会谷歌,并要求给出补丁时间表,而谷歌每次都说他们没有时间表。

Wi-Fi直连(Wi-Fi-Direct)是允许无线设备直接连接的一项标准,标准的缺陷是存在远程利用拒绝服务(DOS)漏洞。该标准不仅应用于安卓设备,而且还应用于打印机、相机、电脑等等。

核心安全称,该漏洞是一种无法捕获的异常(CVE-2014-0997),影响扫描Wi-Fi直连设备的安卓设备。

“因为Wi-Fi监视类上存在无法处理的异常,攻击者就可以发送一个特别定制的802.11探针响应帧引起Dalvik子系统重启。”

Duo安全公司专家Jon Oberheide说,因为设备不是连续扫描点对点连接,所以降低了该漏洞的严重性。

他说,“当设备可能在寻找同类设备时,会给出安全限定提示窗,要求攻击者必须有物理接近才能对受害者设备发送变异的IE广播,所造成的影响也只是造成设备重启,我觉得这个漏洞的严重性还是相对比较低的。”

核心安全识别出了运行安卓4.4.4的Nexus5和Nexus4设备存在该安全漏洞,而运行安卓4.2.2的LG D806和三星SM-T310设备,以及运行安卓5.0.1和5.0.2的摩托罗拉Razr HD设备则不存在该安全漏洞。

漏洞披露报告显示:“在一些安卓设备处理带有Wi-Fi直连信息元素的探针响应帧时,包含设备名称属性与特定字节生成的变异请求事件字符串会因丢弃IllegalArgumentException而引起异常中止,因为安卓无法处理这个异常,系统就会重启。”

双方之间的争议是从去年九月下旬核心公司知会安卓安全团队时开始,核心公司给安卓安全团队发送了技术细节和概念验证,同时给出了10月20日的发布日期。谷歌10月16日表示,他们将该漏洞的严重性归为低级别,并且没有补丁发布时间表。核心公司在其回复中表示不同意谷歌的对于该漏洞安全级别的归类,漏洞报告发布日期将另行安排。核心公司说,谷歌随后“强调立场”称他们没有马上发布补丁的计划。

本月初,核心公司将这一问题再次提出,谷歌1月16日仍然回应说没有补丁发布时间表。1月19日核心公司要求谷歌应本着合作的精神“保持进程协调”,并通知安卓安全团队其漏洞报告的最终发布日期为本周。1月20日,谷歌还是回应说没有补丁时间表。

谷歌零日项目研究小组最近连续公布了一系列漏洞。零日项目在第一年就披露三个Windows零日漏洞,其中一个零日漏洞是在微软发布补丁的前两天公布的。上周,零日项目又提前强行公布了苹果Mac OS X的三个漏洞。

知识来源: www.aqniu.com/threat-alert/6518.html

阅读:82010 | 评论:0 | 标签:安全警报 wifi直连漏洞 拒绝服务 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“谷歌也超漏洞时间表 安卓Wifi直连漏洞细节被披露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云