Android Apps 移动服务框架中的严重安全
漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。 研究人员发现的漏洞被追踪为CVE-2021-42598、 CVE-2021-42599、 CVE-2021-42600和 CVE-2021-42601, CVSS评分在 7.0分-8.9分之间, 能够让用户遭受命令注入和权限提升攻击,受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。 研究人员发现该框架有一个“BROWSABLE”服务活动,可以远程调用以利用多个漏洞,攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。 这些带有漏洞的应用程序嵌入在设备的系统映像中,表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样,如果没有获得设备的 root 访问权限,一些受影响的应用程序就无法完全卸载或禁用。 在
微软公开披露这些漏洞之前,mce Systems 已修复问题并向受影响的提供商提供框架更新,但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本,如果用户安装了包名为 com.mce.mceiotraceagent的应用,其设备也可能会受到试图滥用这些漏洞的攻击,建议用户及时清除这些应用,并更新至最新的系统版本。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
权威发布,测试选择不纠结!第15届软件测试行业报告,直击行业发展,把握未来方向!
原文地址:http://www.51testing.com/?action-viewnews-itemid-6657893
免责声明:本文来源于互联网,版权归合法拥有者所有,如有侵权请公众号联系管理员
* 本站提供的一些文章、资料是供学习研究之用,如用于商业用途,请购买正版。
