谷歌发布Android补丁2018.7 修复远程代码执行等重要漏洞

责编：gltian ｜2018-07-09 14:39:42

上周，谷歌发布了2018年7月的Android补丁，解决了流行的移动操作系统中的数十个漏洞。共解决了11个漏洞，包括3个关键问题和8个影响框架，媒体框架和系统的高风险漏洞。影响框架的最严重漏洞（CVE-2018-9433）可能被远程攻击者利用特制的pac文件在特权进程的上下文中执行任意代码。多个Android版本受到影响。

修复关键远程代码执行漏洞

关键漏洞是远程代码执行问题，其他缺陷包括信息泄露错误，拒绝服务和特权提升问题。

影响框架的最严重漏洞（CVE-2018-9433）可能被远程攻击者利用特制的pac文件在特权进程的上下文中执行任意代码。

“本节中最严重的漏洞可能使远程攻击者使用特制文件在特权进程的上下文中执行任意代码，”

系统（CVE-2018-9365）组件中最严重的漏洞可能被远程攻击者利用特制文件在特权进程的上下文中执行任意代码。

媒体框架组件（CVE-2018-9411）中最严重的漏洞可能被远程攻击者利用特制文件在特权进程的上下文中执行任意代码。

受影响版本

受影响的Android版本是Android 6.0,6.0.1,7.0,7.1.1,7.1.2,8.0和8.1。

作为2018-07-05安全补丁级别的一部分，Google还解决了总共32个漏洞，8个关键问题和24个被评为高风险。

这些漏洞影响内核（4个特权错误提升），Qualcomm（6个，1个关键RCE缺陷，1个高严重级RCE，2个高风险信息高风险问题和2个特权提升漏洞），以及Qualcomm闭源（22,7个关键问题和15个高风险漏洞）组件。

2018-07-01安全补丁级漏洞详细信息

框架

CVE	References	Type	Severity	Updated AOSP versions
CVE-2018-9433	A-38196219	RCE	Critical	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2018-9410	A-77822336	ID	High	8.0, 8.1

媒体框架

CVE	References	Type	Severity	Updated AOSP versions
CVE-2018-9411	A-79376389	RCE	Critical	8.0, 8.1
CVE-2018-9424	A-76221123	EoP	High	8.0, 8.1
CVE-2018-9428	A-74122779	EoP	High	8.1
CVE-2018-9412	A-78029004	DoS	High	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9421	A-77237570	ID	High	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

系统

CVE	References	Type	Severity	Updated AOSP versions
CVE-2018-9365	A-74121126	RCE	Critical	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9432	A-73173182	EoP	High	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9420	A-77238656	ID	High	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9419	A-74121659	ID	High	7.0, 7.1.1, 7.1.2, 8.0, 8.1

2018-07-05安全补丁级漏洞详细信息

内核组件

CVE	References	Type	Severity	Component
CVE-2018-5703	A-73543437 Upstream kernel	EoP	High	IPV6 stack
CVE-2018-9422	A-74250718 Upstream kernel	EoP	High	futex
CVE-2018-9417	A-74447444* Upstream kernel *	EoP	High	USB driver
CVE-2018-6927	A-76106267 Upstream kernel	EoP	High	futex

高通组件

CVE	References	Type	Severity	Component
CVE-2018-5872	A-77528138 QC-CR#2183014	RCE	Critical	WLAN
CVE-2018-5855	A-77527719 QC-CR#2181685	ID	High	WLAN
CVE-2017-13077, CVE-2017-13078	A-78285557 QC-CR#2133114	ID	High	WLAN
CVE-2018-5873	A-77528487 QC-CR#2166382	EoP	High	nsfs
CVE-2018-5838	A-63146462 * QC-CR#2151011	EoP	High	OpenGL ES driver
CVE-2018-3586	A-63165135 * QC-CR#2139538 QC-CR#2073777	RCE	High	ADSPRPC heap manager

高通闭源组件

这些漏洞会影响Qualcomm组件，并在相应的Qualcomm AMSS安全公告或安全警报中进一步详细说明。这些问题的严重性评估由Qualcomm直接提供。

CVE	References	Type	Severity	Component
CVE-2017-18171	A-78240792 *	N/A	Critical	Closed-source component
CVE-2017-18277	A-78240715 *	N/A	High	Closed-source component
CVE-2017-18172	A-78240449 *	N/A	High	Closed-source component
CVE-2017-18170	A-78240612 *	N/A	High	Closed-source component
CVE-2017-15841	A-78240794 *	N/A	High	Closed-source component
CVE-2017-18173	A-78240199 *	N/A	High	Closed-source component
CVE-2017-18278	A-78240071 *	N/A	High	Closed-source component
CVE-2016-2108	A-78240736 *	N/A	Critical	Closed-source component
CVE-2017-18275	A-78242049 *	N/A	High	Closed-source component
CVE-2017-18279	A-78241971 *	N/A	High	Closed-source component
CVE-2017-18274	A-78241834 *	N/A	High	Closed-source component
CVE-2017-18276	A-78241375 *	N/A	High	Closed-source component
CVE-2017-18131	A-68989823 *	N/A	High	Closed-source component
CVE-2018-11259	A-72951265 *	N/A	Critical	Closed-source component
CVE-2018-11258	A-72951054 *	N/A	High	Closed-source component
CVE-2018-11257	A-74235874 *	N/A	Critical	Closed-source component
CVE-2018-5837	A-74236406 *	N/A	High	Closed-source component
CVE-2018-5876	A-77485022 *	N/A	Critical	Closed-source component
CVE-2018-5875	A-77485183 *	N/A	Critical	Closed-source component
CVE-2018-5874	A-77485139 *	N/A	Critical	Closed-source component
CVE-2018-5882	A-77483830 *	N/A	High	Closed-source component
CVE-2018-5878	A-77484449 *	N/A	High	Closed-source component

原文：http://toutiao.secjia.com/article/page?topid=110473

上一篇：网络攻击新载体：API

下一篇：同态加密技术终于落地：Enveil发布基于“零泄露计算架构”