95%安卓受影响！Google发布补丁修复漏洞
　　【PConline 资讯】前不久安卓爆出了一个严重Stagefright媒体库漏洞，这个漏洞可以让黑客通过彩信和媒体文件，在安卓中植入后门。这个漏洞的影响非常恶劣，95%的安卓设备都会受影响。现在，Google为Nexus设备发布了修复该漏洞的，Nexus用户近期应该会得到推送。Google向Nexus设备推送漏洞修复补丁　　据悉，安卓的Stagefright媒体库漏洞是因Stagefright媒体库框架存在缺陷所造成的，黑客可以通过彩信向某个安卓设备发送媒体文件，然后植入后门，接着远程开启用户上的麦克风，窃取文件，读取电子邮件，获取用户的个人身份认证信息。安全厂商Zimperium首席技术官苏克&亚伯拉罕(Zuk Avraham)表示，这个缺陷非常危险，用户难以做任何防范，黑客完成攻击后还能够不留痕迹地消除证据，用户也难以发现自己受过攻击。　　之前Google已经在安卓开源项目AOSP中修复了该问题，现在Google直接推送修复补丁了。Google为Nexus推送了一个10M左右的更新，升级后安卓5.1.1的系统版本将会变为LMY48I。如果你是Nexus用户，很快就会收到推送。对于其他OEM用户，三星已经发布了相应的漏洞修复，一些国际大厂近期也会跟进，希望国产厂商也能够重视该漏洞并发布修复补丁吧。相关阅读:小巧强悍!手机系统信息查看工具DevCheck安卓CyanogenMod用户量竟超WP/黑莓之和?IBM：安卓特权提升漏洞可影响55%设备又一出品的安卓App!翻译App体验&
软件论坛帖子排行
最新资讯离线随时看
聊天吐槽赢奖品
相关软件：
大小：42.5 MB
授权：免费
大小：33.23 MB
授权：免费照片风格各异，时而腾空跃起，时而单手托举。
暴雨把房屋淹没，因为走得着急，40万借条没来得及拿。
声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
　　【安卓中文网】在各种关于隐私的重大事件影响下，安全问题越来越受到重视，不少科技巨头在这方面也非常重视。 Google在今年1月的Nexus安全公告中修复了名为CVE-Android设备的信任区(TrustZone)提权漏洞，其影响到六成采用了高通安全平台的Android设备。四个月后，一名安全人员解释了这个“高通安全执行环境”(QSEE)漏洞是如何被用来攻破Android设备的。Android TrustZone是系统内核中的一个独立于内核中其它部分工作的特殊部分，负责处理最重要和敏感的操作(比如数据加密)。
　　安全研究人员Gal Beniamini在高通定制实现的TrustZone内核中发现了该漏洞，其被用于搭载了高通芯片的Android智能机上。
　　Beniamini表示，其本身是“无害”的，但如果攻击者将它与另一个漏洞(CVE-)“串联”起来，就可以提取到高通TrustZone的权限。
　　在这之后，任何Android媒体服务组件都可以被它所利用。(所幸的是，Google已在Android N中拆分了mediaserver，以消除Stagefright高危漏洞的影响)
　　攻击者只需精心打造一个包含了上述俩漏洞的应用，然后诱骗用户去安装它。得逞之后，即可完全控制受害设备。
　　根据移动安全企业Duo从50万Android手机上收集到的遥测数据，当前采用了高通芯片的Android设备占到了六成，它们运行着受影响的Android版本。
　　即使Google已经发布了安全补丁，设备也可以通过升级系统版本的方式完全避免，但漏洞的影响仍可能持续很长一段时间。
　　Google在今年1月时写到：“因其可永久攻破本地设备，该问题被标记为‘高危’(Critical)。换言之，受影响的设备要重刷操作系统才能修复”。
　　为确保安全，我们在此建议大家积极采用反病毒解决方案，或仅安装声誉较高、可信赖的应用程序。
欢迎举报抄袭、转载、暴力色情及含有欺诈和虚假信息的不良文章。
请先登录再操作
请先登录再操作
微信扫一扫分享至朋友圈
搜狐公众平台官方账号
生活时尚&搭配博主 /生活时尚自媒体 /时尚类书籍作者
搜狐网教育频道官方账号
全球最大华文占星网站-专业研究星座命理及测算服务机构
安卓中文网
主演：黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
主演：陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
主演：陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓
主演：尚格?云顿/乔?弗拉尼甘/Bianca Bree
主演：艾斯?库珀/ 查宁?塔图姆/ 乔纳?希尔
baby14岁写真曝光
李冰冰向成龙撒娇争宠
李湘遭闺蜜曝光旧爱
美女模特教老板走秀
曝搬砖男神奇葩择偶观
柳岩被迫成赚钱工具
大屁小P虐心恋
匆匆那年大结局
乔杉遭粉丝骚扰
男闺蜜的尴尬初夜
客服热线：86-10-
客服邮箱：微软、谷歌、苹果…… 谁逃过了2015年的漏洞名单？
微软、谷歌、苹果…… 谁逃过了2015年的漏洞名单？
过去的2015年，堪称从刀尖走过的一年：无数致命或知名的漏洞，被发现、利用……所幸，由于反应及时，大多漏洞在尚未造成无法挽回的损失时，便已被厂商修补，最后倒也落得个有惊无险的结局。
从让谷歌与微软相互拆台、大打口水仗的CVE-，到威胁数亿国人的iOS&XcodeGhost，2015年的发现漏洞列表不仅一如既往的长，且精彩程度也丝毫不差。本文将从15年的漏洞长名单中，节选10个影响范围最广、知名度最高或造成后果最恶劣的漏洞，并加以详细介绍。
CVE-，一个漏洞引发的巨头血战
2015年初，Google旗下Project&Zero安全小组披露了一个Windows&8.1的安全漏洞及细节。而问题关键在于，此时微软尚未对该漏洞做出修补，黑客仍可以利用漏洞详情对Windows用户进行攻击。
在厂商修复前披露漏洞细节，谷歌也有着充分的理由，即微软的不作为。谷歌早在90天前便放出通牒，但微软却迟迟未推出更新，于是谷歌按照承诺，在第90天公布了漏洞的详情。
该漏洞的实质威胁并不够大，但却引发了整个行业对漏洞披露的探讨――究竟应该等到厂商修复后再公布，亦或是提前公布倒逼厂商修补速度。至于微软与谷歌孰对孰错，大概每个安全从业者心中都有一套自己的评价标准。
Rowhammer，击破笔记本防御并夺取控制权
Rowhammer漏洞，同样出自Google的Project&Zero安全小组之手，影响所有搭载DRAM内存的X86构架CPU。借助该漏洞，攻击者能够获得内核权限甚至有可能通过远程攻击获取代码执行权限。
Rowhammer漏洞的表现形式也很不寻常：当攻击者敲打(Hammering)内存的特定某几行时，会导致其它行的内存单元相应地翻转，实现“1变0，0变1”。已有大量采用x86架构的笔记本电脑，受到Rowhammer漏洞的波及。
IIS远程DOS和信息泄漏漏洞，轻松使百万服务器蓝屏
IIS远程DOS和信息泄漏漏洞（CVE-）于今年4月被微软修补。利用该漏洞，攻击者只需通过一行简单的命令，就可以直接攻击全球上百万台Windows服务器，并使之蓝屏下线。国内约30%的服务器受该漏洞影响。
VENOM毒液漏洞，上万机构、百万终端用户躺枪
VENOM毒液漏洞（CVE-），是一种能够影响QEMU软盘控制器驱动程序（用于管理虚拟机的开源电脑模拟器）的漏洞。攻击者可以从客户系统发送命令和参数数据到软盘控制器，以此导致数据缓冲区溢出，并在主机管理程序进程环境中执行任意代码。
该漏洞波及范围巨大，至少将影响到成千上万的机构和数以百万计的终端用户。并且危害也不可小觑：攻击者可以使监控程序崩溃，并获得目标机器及其运行的所有虚拟机的控制权。这意味着，用户储存的所有数据，都将成为攻击者的囊中之物。
补之不尽的Flash漏洞成军火贩子福音
Adobe&Flash 的漏洞问题，几乎已经成为安全界老生常谈的话题。在2015年，Flash再次成为众矢之的：多个Flash漏洞被发现用于国家级APT、商业间谍和勒索软件等等，其中包括俄罗斯APT28组织攻击美国跨国国有企业/国防单位的FLASH漏洞、Hacking&Team泄漏的用于监视目标的Flash漏洞、以及被用于Pawn&Strom攻击事件的Flash漏洞……
最新报告显示，黑客攻击工具(EK)所利用的前10大漏洞中，有8个针对的是Adobe&Flash&Player。可以说，Adobe公司为网络战争提供了大量的“弹药”。尽管业内关于放弃Flash的呼声越来越高，但Adobe依旧推出了Flash&Player&20的新测试版。Flash的漏洞挖掘之路，还要继续走下去。
Win32k内核驱动/字体驱动漏洞，引发网络世界大战
由于现代浏览器普遍采用沙盒机制，所以针对浏览器的漏洞攻击越来越需要内核漏洞的支持。&今年以来，相继爆出了多个涉及&win32k.sys的内核漏洞被用于真实的APT攻击；同时，通过字体漏洞进入内核也成为了常见案例，包括hacking&team事件中曝光的两个字体内核漏洞、及Google的研究员J00ru发现的大量字体内核漏洞。
除此，俄罗斯APT28组织攻击美国跨国国有企业/国防单位时的内核权限提升（CVE-），Duqu2.0组织攻击卡巴斯基实验室的内核漏洞等，采用的也同样是win32k内核驱动漏洞。Win32k内核驱动/字体驱动漏洞，几乎已成为网络战争中最常见的军火，受其攻击的国家、组织不计其数。
CVE-，最强防御条件下，IE仍被攻破
攻击者能在64位IE浏览器上，稳定利用CVE-未初始化漏洞并绕过CFG/EMET等防护措施以及EPM沙盒的防御，完成控制权限的夺取。
值得一提的是，在今年3月举办的Pwn2Own挑战赛上，来自中国的360Vulcan&Team正是凭借该漏洞，一举攻破了有史以来挑战难度最高、条件最苛刻的IE11浏览器。虽然IE11浏览器拥有拥有增强沙箱保护，并开启64位进程和EMET防御，但仍然因为该漏洞而被中国团队17秒攻破。
iOS&XcodeGhost、百度WormHole漏洞，将APP变成陷阱
iOS&XcodeGhost与百度WormHole漏洞，主要爆发在国内。二者所波及的APP多达数百款，攻击者可以利用漏洞夺取几乎全部的控制权，堪称2015年国内影响最大的漏洞。
iOS&AirDrop漏洞，打破iOS&9无漏洞的神话
iOS&AirDrop漏洞，是iOS&9上出现的首个漏洞。该漏洞可以在用户未主动同意时，向设备推送并安装恶意应用。AirDrop漏洞打破了iOS&9的不破金身，苹果公司随即在最新的iOS&9中对该漏洞进行了修补。
stagefright漏洞，一条彩信就能控制全球95%的安卓手机
iOS 膝盖中箭的同时，安卓手机也未独善其身。以色列移动信息安全公司Zimperium在Android系统核心组成部分Stagefright中发现了多处安全漏洞，影响当前约95%的Android设备。黑客可以通过发送一条彩信，完全控制用户手机，无论用户是否阅读了该短信。
谷歌在四处为人寻找漏洞的同时，自己在修补漏洞时却也遇到了麻烦。据悉，谷歌第一次为Android提供的补丁并不能完全修补Stagefright漏洞，谷歌不得已为其提供了第二次的修补。
在2015年造成巨大影响的漏洞远不止这10个，但由于篇幅有限，仅介绍10个最突出的漏洞。
漏洞，一直被称作网络战争中的军火，相当多恶意分子希望借漏洞获取数据信息、或者打击竞争对手。也因此，在网络世界的“军火”上，天价的漏洞悬赏屡见不鲜。据专门收购漏洞的资安公司Zerodium宣布，iOS漏洞最高50万美元；Android、Windows、IE等漏洞也分别被标出10万、八万美元。
如同枪支一样，此类漏洞一旦被不法分子获得，便有可能对用户造成巨大的安全威胁。在庆幸15年平安度过的同时，安全工作者也应该反思――如何才能先于不法者找到系统或平台中的漏洞，保护大众安全。
编 辑：孔垂帅
余承东：华为荣耀已成为双品牌&未来将走独立品牌道路,6月30..
CCTIME推荐
CCTIME飞象网
CopyRight &
京ICP备号&& 京公网安备号
公司名称： 北京飞象互动文化传媒有限公司
未经书面许可，禁止转载、摘编、复制、镜像Google准备修复Google+转发功能漏洞
【搜狐IT消息】北京时间7月3日消息，据国外媒体报道，Google准备修复Google+信息转发功能中存在的一个隐私漏洞，Google同时还将着手过滤Google+的一些重复信息。
Google Buzz于2010年2月上线，但它暴露的隐私漏洞令舆论哗然，这最终迫使Google修复这些漏洞。
在全新的Google+社交网络中，Google采用了与Buzz相同的隐私功能，其中之一就是允许用户关闭Google+的信息转发功能。
Google+用户可以手动添加联系人到各种圈子中，包括好友，同事，家人等，当然用户也可以自己创建圈子。Google+用户可以分享评论，链接或视频，每次发布信息时，用户可以选择希望分享的圈子。
目前，Google+用户可以转发自己所在圈子里其他用户所发布的信息，并在自己的圈子里发布这些信息，但转发者所在圈子里可能会包括原发布者希望回避的用户。
点击信息窗口角落的一个小箭头，发布者可在弹出的下拉菜单中禁用转发功能。但是，Google+用户只能在状态更新，链接，相片或视频发布以后才能禁用该功能。
Google+开发团队成员凯利-艾利斯（Kelly Ellis）表示，她和她的团队正在修复这个漏洞，发布者可以在圈子里保证自己的隐私安全。
艾利斯在一个Google+视频中称：&信息的评论和分享将贯穿于发布过程的始终，你下次发布信息时就将看到一个功能小提示。&
当用户发布一条信息时，他们将在信息下方看到一个弹出提示：想编辑信息吗？使用下方的下拉菜单编辑或删除信息。不想让人评论或转发？你也可以在那里关闭这些功能。
更为重要的是，艾利斯称受限信息将不会被公开转发。
艾利斯表示：&从下周开始，受限信息将不会用于公开分享。这对我们很重要。在Google+上，你应该控制你的信息查阅者。&
艾利斯同时透露，用户常会一次又一次地看到相同的信息，Google+开发团队正在处理服务中的重复信息。
艾利斯说：&我们将推出一些实验功能，展示与用户密切的人的信息。&
目前尚不清楚Google将如何定义&密切&这个词，Google可能会使用某种社交关联算法。（雕刻时光）
相关报道：
新闻热线：010-
责任编辑：yjh
名企动态： |
标志着Windows迈出个性化计算的第一步……
本站特聘法律顾问:于国富律师
Copyright (C) 1997-深受其害：苹果谷歌正修复Freak安全漏洞
　　据外媒报道，苹果和谷歌在本周二表示，它们正在修复近期发现的“Freak”信息安全漏洞。这一漏洞已经影响了诸多移动设备和Mac电脑。苹果谷歌正修复Freak安全漏洞（图片来自baidu）　　发现该漏洞的研究人员指出，利用这一网页加密技术的漏洞，黑客可以窃取苹果Safari和谷歌Android浏览器的用户通信。据悉，这一漏洞可导致苹果和谷歌产品的用户在访问数十万网站时容易遭到攻击，这些网站包括Whitehouse.gov、NSA.gov和FBI.gov等。　　对此苹果发言人表示，苹果已经开发了补丁，并将于下周推送。谷歌发言人则表示，谷歌也已开发了补丁，并已提供给合作伙伴。不过她并未透露，普通用户将于何时收到这一补丁。至于谷歌方面则通常并不会直接推送Android系统的更新，而是将更新提供给设备商和运营商，由它们来发布。　　谷歌发言人表示，谷歌已建议所有网站关闭对不太安全的加密形式的支持。她同时指出：“Android浏览器与大部分网站，包括谷歌网站的连接，并不存在这样的漏洞。　　原因早前约翰·霍普金斯大学密码学专家马修·格林(Matthew Green)的说法称，Whitehouse.gov和FBI.gov已经进行了修复，而NSA.gov仍然存在漏洞。另外，9名研究人员发现，他们可以强迫网页浏览器使用一种针对美国政府监管规定蓄意弱化的加密形式。美国政府的规定禁止美国公司出口最强的加密标准。然而，在使用较弱的加密形式时，他们可以在几小时内破解加密系统。在这种情况下，黑客可以很容易窃取数据，并对这些网站发起攻击。
发布时间：日05:25
来源网站：中关村在线
[本文（深受其害：苹果谷歌正修复Freak安全漏洞）声明] 上网看看奇闻网刊载此文或图片不代表同意其说法或描述，仅为提供更多信息，也不构成任何投资或其他建议。本来源于网络各大门户网站由网友转载，本站对于此类文章本站仅提供交流平台，不为其版权负责。如果您发现本文有侵犯您的知识产权的文章，请联系我们(把#换成@)我们会在第一时间删除。