双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號:CNTA-2014-0022

根據BlueBox在7月30日披露的公告稱，Android 操作系統(tǒng)存在APP FakeID簽名漏洞（CNVD-2014-04764?，對應Google Bug 13678484）。攻擊者可以利用漏洞開發(fā)惡意APP并繞過Android操作系統(tǒng)權限認證限制，發(fā)起后續(xù)攻擊。

漏洞產生原因在于Android校驗應用身份時采取的方式存在“單個證書充分條件”風險。 PackageManger在安裝APP軟件（APK格式）時并不校驗證書鏈上所有證書的合法性，只要存在被指定的簽名（SIGN）能夠校驗APK中所有文件的合法性即可。Android操作系統(tǒng)使用getPackageInfo獲取安裝包證書時，如果獲取到多個證書，只要有一個證書可確保APK可信即可。

FakeID簽名漏洞可導致惡意程序取得信賴應用的簽名，繞過Android操作系統(tǒng)的安全驗證機制，在高權限下甚至可以取得Android終端設備的控制權限。潛在的攻擊場景包括：該漏洞可導致使用了webview組件的應用被惡意監(jiān)控或隱私數據失竊；可能對Google Wallet類的支付應用產生威脅，如可獲得NFC（近距離無線通信）設備的控制權限。

CNVD對該漏洞的綜合評級為“高危”。

解決方案：

該漏洞影響部分4.4及所有4.4以下版本的安卓系統(tǒng)， Google已經在今年4月針對這個代碼為13678484的漏洞發(fā)布修補程序，并通報給Android合作伙伴。主要在簽名校驗的JarVerifier類的代碼JarUtils中，添加了chainCheck的選項，可以對所有證書進行校驗。CNVD技術組成員單位——奇虎360公司對該漏洞進行了驗證。

參考鏈接：

1、漏洞信息

http://bluebox.com/blog/technical/android-fake-id-vulnerability/

http://blogs.#/360mobile/2014/08/04/all-about-fakeid/

2、POC

https://github.com/retme7/FakeID_poc_by_retme_bug_13678484/