اینجا چرا همه کهکشان گوشی های سامسونگ (2014 یا بعد از آن) نیاز به به روز رسانی در حال حاضر

اگر شما خود سامسونگ کهکشان گوشی های تولید شده در سال 2014 یا بعد از آن (که شامل این سال کهکشان S20 خط) مطمئن شوید که شما نصب به صورت ماهیانه به روز رسانی امنیتی در اسرع وقت. چرا که از یک “صفر-با کلیک بر روی” آسیب پذیری است که می تواند اجازه می دهد یک مهاجم برای بارگذاری کدهای مخرب بر روی تلفن خود را. به گفته ZDNet ها, Mateusz Jurczyk یک محقق با گوگل در پروژه صفر تیم کشف کرد که در گوشی های سامسونگ این فرآیند مورد استفاده توسط آندروید Skia گرافیک کتابخانه به مسئولیت رسیدگی به تصاویر در Qmage فرمت گرافیکی (.qmg) دارای یک اشکال است که می تواند مورد سوء استفاده توسط یک بازیگر بد.
به مسائل بدتر صفر بر تعیین بدان معنی است که کاربر لازم نیست برای ارتباط برقرار کردن با هر بخش خاص از تلفن برای دستگاه به بهره برداری می شود. هنگامی که یک تلفن آندروید است که با ارسال یک تصویر از آن است که هدایت به Skia کتابخانه تصویر برای پردازش بدون اطلاع کاربر. Jurczyk ایجاد تصویری از خود را اثبات مفهوم آزمایشی که نشان داد بهره برداری در گوشی های سامسونگ برنامه پیام. محقق آزمایش بهره برداری توسط بارها و بارها با ارسال پیام های MMS به گوشی سامسونگ, در حالی که تلاش برای دور زدن محافظ ASLR (Address Space Layout تصادفی) امنیت روش. آن او را در زمان 100 دقیقه و مورد نیاز او را به ارسال 50 تا 300 پیام های MMS برای دور زدن ASLR. “من در بر داشت راه برای دریافت پیام های MMS به طور کامل فرآوری و بدون راه اندازی یک هشدار از طریق صدا در آندروید تا به طور کامل خفا حملات ممکن است ممکن است” Jurczyk گفت.

در حالی که محقق خود را اثبات مفهوم آزمون تنها در سامسونگ برنامه پیام او گفت که در تئوری بهره برداری در دسترس است بر روی هر برنامه که می توانید دریافت Qmage تصاویر را از یک دستگاه دیگر. در حالی که ما نمی دانیم که آیا این آسیب پذیری تا کنون بهره برداری توسط مهاجمان دیگر آندروید تولید کنندگان نیستند آسیب پذیر به دلیل سامسونگ اصلاح آندروید برای حمایت از Qmage فرمت تصویر; دوم توسعه داده شد توسط یکی دیگر از شرکت کره جنوبی به نام Quramsoft.

اخیر به روز رسانی امنیتی منتشر شده توسط سامسونگ تا به این بهره برداری تعیین شده به عنوان SVE-2020-16747 و Jurczyk گزارش در پروژه صفر سایت می توان در اینجا یافت نشد. به تازگی پروژه صفر نیز یافت می شود چندین آسیب پذیری در تصویر I/O مورد استفاده برای تجزیه و کار با فایل های تصویری بر روی همه اپل سیستم عامل. این وصله.

به روز رسانی های امنیتی به نظر نمی رسد هیجان انگیز است زیرا آنها نمی ارائه ویژگی های جدید است. هنوز هم آنها مهم هستند را نصب کنید حق دور چون آنها را متوقف می توانید گوشی خود را از مورد حمله قرار گرفتن توسط یک بازیگر بد به دنبال سود حاصل از اقدامات خود را در یک راه یا دیگری.

tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.de