利用旧版Android漏洞的E-Z-2-Use攻击代码发布

利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Metasploit中。漏洞影响Android 4.2之前的版本,Google在Android 4.2中修正了这个漏洞,但根据官方统计, 超过五成用户仍然使用存在漏洞的旧版本。WebView的漏洞允许攻击者在Android浏览器和其它应用中注入恶意 JavaScript代码,获得与目标程序相同的访问权限,攻击者可以开启一个shell窗口访问受害者的文件系统、照相机,地理位置数据、SD卡数据和 地址簿。漏洞还可通过不安全网络的中间人攻击触发。漏洞存在于Android系统中,而不是私有的 GMS 应用平台,只有更新系统才能修正漏洞。安全研究人员Tod Beardsley希望,攻击代码的披露能迫使供应商尽快升级系统。

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-11-03 10:21:14

利用旧版Android漏洞的E-Z-2-Use攻击代码发布的相关文章

路过下载攻击利用旧版 Android 漏洞安装勒索软件

安全研究人员报告, 正在进行中的路过下载攻击利用旧版本Android设备的漏洞安装勒索软件索要赎金.Android设备由于种种原因有很多得不到更新,导致数以百万计的 设备易遭已修复的高危漏洞的攻击.最新的攻击至少组合利用了两个高危漏洞,影响 Android v 4.0到v4.3系统,其中一个漏洞给予了攻击者root访问权限.漏洞利用代码被发现大量借鉴--如果不是完全拷贝的话--去年7月意大利安全公司 Hacking Team被黑客泄漏的Android攻击脚本.恶意的JavaScript脚本通过广

旧版ECShop漏洞影响众多B2C商城 360提示网站升级系统

3月29日,360网站安全检测平台发布漏洞警报称,国内 大量B2C网上商城正面临高危漏洞威胁,可能导致网站被黑客入侵控制.消费者帐号密码等数据泄露.据悉,这部分网站使用了老版本ECShop网店 建站系统,至今未修复一个曝光 多年的"本地文件包含漏洞",为此360网站安全检测平台已通知客户升级ECShop版本,并提供更便捷的代码修复方案.360网站安全检测平台服务网址:http://webscan.360.cn据了解,ECShop是业界知名的B2C开源网店系统,适合企业及个人快速构建个性

微软IE“极光漏洞”攻击代码遭大量利用

本报讯 江民恶意网页监控系统近日监测到,微软IE"极光漏洞"攻击代码已被黑客大面积利用,网上已出现数百个利用该漏洞的恶意网页,提醒广大电脑用户谨防遭受利用该漏洞的病毒攻击. 微软官方发布Microsoft Security Advisory (979352)安全公告,确认在IE6/7/8版本中,存在零日漏洞,涉及的操作系统包括:Windows 2000 SP4,Windows XP/2003 /Vista/2008,Windows 7.微软在安全公告中表示,IE在特定情况下,有可能访问

旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机

本文讲的是旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机, 对黑客而言,有什么能比在一个应用广泛的软件中不费吹灰之力发现漏洞更让人激动的了? 如今,在旧版Mac ESET杀毒软件中就发现了这样一个易被利用的高危漏洞,允许任何未经身份验证的攻击者运用Mac系统中的root特权远程执行任意代码.   漏洞描述 该漏洞的漏洞编号为CVE-2016-9892,是由谷歌安全团队的Jason Geffner和Jan Bee两位研究人员于2016年11月在为 macOS 系统设计的 ESET En

T-Mobile旧版网络电话软件存Wi-Fi漏洞 或致呼叫被监听

正如其名,T-Mobile的Wi-Fi呼叫功能,使得用户可以通过一个无线网络来拨打或接听电话-- 但是该系统旧版本里的一个漏洞,或导致用户遭受攻击.根据报道,加州大学伯克利分校的研究生Jethro Beekman和Christopher Thompson发现,部分版本的Wi-Fi呼叫软件,不能正确地验证用于该功能的 服务器端安全证书.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' border="0"

IE将能自动屏蔽旧版插件提高安全性

  虽然微软的IE浏览器在安全性上已经越来越好,但是由于其庞大的普及率及版本参差不齐,因此有许多旧版本的插件也会让新的IE浏览器成为受到攻击的目标.为此,微软正式宣布从现在开始从IE8到IE11等多个版本的浏览器将会自动屏蔽旧版ActiveX控件. ActiveX插件在IE中的存在由来已久,大多数第三方插件,例如Adobe Flash和Java,都使用ActiveX来呈现内容.这些插件虽然可以帮助用户在网页上看视频和玩游戏,但此类插件不自动更新,因此旧版本安全漏洞往往会被黑客利用.而微软这次的努

旧版iOS设计界面被迫重新加入扁平和毛玻璃效果

硅谷网讯 对于设计业界来说,iOS7的发布是一个大事件.早在几个月前测试版放出时,就在设计师社区引发了一场讨论.众多基于旧版iOS设计风格而制作的界面,被迫重新设计加入扁平和毛玻璃效果.这两天新系统已经正式推出,一些应用新版界面已经同时上架. 在苹果的桌面系统Mac OS X上面,很多在Windows下自成一派的应用,都要经过重新设计,以尽力符合苹果的界面标准.一些应用看起来就好像是从另一个星球来的一样. 针对微软Windows Phone和Windows 8Modern界面而设计的应用也是如此

HTC旧版Dream机bootloader已解 可刷机

HTC终于发布了其旧版http://www.aliyun.com/zixun/aggregation/29803.html">Dream手机的解锁引导程序,该手机是HTC第一款Android智能机,于三年前以T-Mobile G1名称上市."虽老却好,"HTC在twitter上这样说到,"HTC Dream的解锁引导程序就在这里,来试试吧!" 业余开发人员早在去年就试图在该款手机上建立蜂窝端口,但是非官方的程序存在很大的问题和不稳定性.HTC官方则在

Mozilla为旧版火狐浏览器发布安全更新

Mozilla公司近日面向旧版本火狐浏览器推出了五款安全更新补丁.同时另外一家安全公司Secunia则警告用户称最新版火狐3.6中可能存在一个危险程度极高的安全漏洞.今年一月份,Mozilla公司曾扬言称不会再对火狐3.0等老版本浏览器提供技术支持,不过本周三,Mozilla公司还是为火狐浏览器的3.5.8,以及3.0.18等版本的旧款浏览器发布了数款更新补丁,并表示旧版版本中有关的漏洞在1月21日发布的最新版火狐3.6浏览器中已经被修正.这次的更新主要面向 五个旧版浏览器的安全漏洞,其中有三个