据外媒 7 月 7 日报道,谷歌于近期发布了一份关于 Android 设备的安全更新报告,警示 Broadcom Wi-Fi 芯片存在一处远程代码执行漏洞 BroadPwn(CVE-2017-3544),或将影响数百万台 Android 设备以及部分 iPhone 机型。
BroadPwn 漏洞影响 Broadcom BCM43xx 系列的 WiFi 芯片,允许远程攻击者可在没有与用户交互的情况下,在具有内核特权的受损设备上触发漏洞、执行恶意代码。
据悉,Google 修补了数十个重要漏洞与 100 多个中等问题。此外,研究人员还修补了几个影响 Android Mediaserver 进程的关键漏洞,其中一些漏洞可能被攻击者远程执行恶意代码。值得注意的是,在 Mediaserver libhevc 库中的输入验证漏洞(CVE-2017-0540)能够允许攻击者使用特制文件在媒体文件与数据处理的过程中损坏内存。
目前,虽然 Google 已发布关于 Pixel 与 Nexus 设备的安全更新,但剩下的 Android 设备仍易遭受攻击。除非各原始设备制造商( OEM )能够立即检测并修复漏洞,不然无法完全解决当前问题。
附:《 Google 2017 年 7 月 Android 安全更新报告 》
原作者:Pierluigi Paganini,译者:青楚
from hackernews.cc.thanks for it.