似乎不需要用户交互:如果自2015年以来与手机捆绑在一起的三星短信应用收到了陷阱诱骗的MMS,它将在用户打开之前自动对其进行解析。这将在Skia图形库中触发一个漏洞,供该应用程序用来解码消息的嵌入式Qmage图像。最终结果是在设备上执行代码,从而使发送恶意代码的恶意者有可能窥探受害者并提出其他恶作剧。
标记为SVE-2020-16747的远程执行代码缺陷是由Google Project Zero的Mateusz Jurczyk发现并报告的。您可以在此处找到有关该错误的深入说明。
三星已经推出了对受支持手机的更新,以解决该漏洞,应该在有人为这种编程失误利用武器进行攻击之前尽快安装该漏洞。如果您仍在等待补丁程序,将默认消息应用程序切换到另一个消息应用程序而不是三星的应用程序,并禁用自动MMS解析可能会有所帮助。
该补丁与Android每月发布的安全修复程序相吻合:运行支持的Android版本的设备的所有所有者都将希望在5月的补丁批次中检查并安装相关更新。
这个最新的楔块包含针对Android AAC解码器(CVE-2020-0103)中的远程代码执行漏洞的修复程序以及一个严重的Android框架特权提升错误(CVE-2020-0096),可共同利用这些漏洞来获得完全控制权设备的
01补丁程序级别的其他漏洞如下。对于Android框架,还有两个附加的特权提升错误(CVE-2020-0097,CVE-2020-0098),它们赋予设备上已经存在的恶意软件对设备不完全的控制权,对于媒体框架,还有一个EoP漏洞(CVE-2020-0094)和三个信息泄露错误(CVE-2020-0093,CVE-2020-0100,CVE-2020-0101)。
Android系统补丁涵盖了上述AAC远程代码错误以及四个EoP(CVE-2020-0102,CVE-2020-0109,CVE-2020-0105,CVE-2020-0024)和三个信息泄露错误(CVE-2020 -0092,CVE-2020-0106,CVE-2020-0104)孔。
在05级别,发布了针对核心Android软件包之外的组件的补丁程序,针对两个内核漏洞发布了修复程序,这些漏洞允许EoP(CVE-2020-0110)和信息泄露(CVE-2019-19536)。针对联发科技组件中的信息披露错误发布了四个修复程序(CVE-2020-0064,CVE-2020-0065,CVE-2020-0090,CVE-2020-0091)。