PNG图片暗藏漏洞,安卓系统7.0、8.0和9.0版用户最好补丁一出就尽快打上。
安卓安全公告牌本月警示:看起来无害的图片暗藏漏洞,无论是互联网上浏览的还是通过手机彩信接收的,都有可能令用户安卓手机被黑。尽管该警告显然不针对所有图片格式,恶意构造的PNG图片还是有可能被用于劫持大量安卓手机——运行有7.0、8.0和最新9.0版安卓系统的那些。
最新公告列出了42个漏洞,其中11个是关键漏洞。最严重的关键漏洞存在于Framework,可供远程攻击者使用特别构造的PNG图片文件在特权进程上下文中执行任意代码。
尽管谷歌没有这些漏洞被利用的报告,但攻击者如何将这些漏洞用于现实世界攻击,如何攻击,我们仍未可知。安卓用户最好及时打上安全补丁。但即便你的安卓机保持接收安全更新,制造商和运营商要花多久才推送补丁又是另一码事了,可能数周,也可能数月。
数千台联网工业用冰柜因默认口令可被远程解冻
安全研究人员确定,Resource Data Management (RDM)制造的温控系统使用默认口令,医院、超市和餐馆所用的数千台联网工业用冰柜可被黑客远程解冻。
Safety Device 的研究人员介绍,联网工业用冰柜可通过浏览器访问,解冻这样一台冰柜仅需点击按钮并输入默认用户名及口令即可。研究人员在网络设备搜索引擎Shodan的帮助下找到了7,149台RDM产品,包括马来西亚最大的制药公司都在用这些存在安全隐患的设备。研究人员建议用户尽快修改默认口令,以防攻击者控制这些系统。
安卓安全公告:
https://source.android.com/security/bulletin/2019-02-01.html