Android Weekly Update ⚡️
WebP 图像编解码库 libwebp 存在堆缓冲区溢出漏洞 (CVE-2023-4863),攻击者可以通过发送植入恶意代码的 WebP 图像获得设备的部分权限。 由于 libwebp 的使用范围广泛,不仅应用于各大浏览器,还包含在系统的底层库中 (例如 Android),以及目前满大街都是的 Electron 中无一例外均使用了 libwebp 库。请各位尽快更新浏览器及使用 Electron 技术的相关应用。 但 CVE-2023-4863 并未包含在 Google 即将在下月发布的 10 月安全更新之中…
由于此次漏洞涉及基础库运用非常广泛,理论上所有能够查看 webp 图片的软件均受影响。

加上各大平台为了用户体验往往会预加载图片至本地,在最坏的情况下攻击者仅需塞入恶意代码并发送给用户,无需交互即可利用漏洞进行攻击。

请各位及时检查各类常用 App (尤其是基于 Electron 开发) 的更新,此次漏洞的后续影响或许比先前 介绍 的 CVE-2022-20465 锁屏绕过漏洞更为深远。
Telegram
Android Weekly Update ⚡️
研究人员 David Schütz 在 Pixel 6 上 发现 严重的安全漏洞,攻击者只需插入一张已知 PIN 码及 PUK 码的 SIM 卡,即可物理解锁你的手机

且漏洞复用方式异常简单:仅需插入这张 SIM 卡、故意输错三次 PIN 码,然后输入正确的 PUK 码,即可绕过锁屏密码解锁手机。

目前 Google 已在 11 月安全更新中修复该漏洞,CVE 编号为 CVE-2022-20465。注意该漏洞理论上也会影响 AOSP,请有条件获得安全更新的设备尽速升级,以免设备遗失被人轻易物理解锁。…
 
 
Back to Top