自动驾驶落地前夜,BAT和华为悉数入局“最后的战场”
自动驾驶落地前夜,BAT和华为悉数入局“最后的战场”,,
编者按:本文来自 36氪 「 未来汽车日报」,(微信公众号ID:auto-time),作者…
三星本周发布了一个安全更新,修复了自 2014 年以来一直存在于旗下所有智能手机中的关键漏洞。该漏洞最早可以追溯到 2014 年下半年,三星开始在所有发布的设备中引入了对自定义 Qmage 图像格式(.qmg)的支持,而三星的定制 Android 系统在处理该图像格式上存在漏洞。
谷歌 Project Zero 的安全研究员 Mateusz Jurczyk 发现了一种利用 Skia(Android 图形库)来处理发送到设备上的 Qmage 图像的方法。Jurczyk 表示,这个 Qmage 漏洞能在零点击的情况下被利用,不需要用户之间的互动。所以能在用户不知情的情况下,将所有发送到设备上的图片重定向到 Skia 库中进行处理 — 比如生成缩略图预览等。
研究人员开发了一个针对三星信息应用的概念验证演示,利用该漏洞可以窃取短信和彩信。Jurczyk 说,他通过向三星设备重复发送 MMS(多媒体短信)信息来利用这个漏洞。每条消息都试图猜测 Skia 库在 Android手机内存中的位置,这是绕过 Android 的 ASLR(地址空间布局随机化)保护的必要操作。
Jurczyk 表示,一旦 Skia 库在内存中的位置被确定,最后一条彩信就会传递出实际的 Qmage 有效载荷,然后在设备上执行攻击者的代码。这位谷歌的研究人员表示,攻击者通常需要 50 到 300 条彩信来探测和绕过 ASLR,这通常需要平均 100 分钟左右的时间。
消息称特斯拉上海工厂总装线停工 或因海外工厂停工导致零部件短缺
消息称特斯拉上海工厂总装线停工 或因海外工厂停工导致零部件短缺,,
【TechWeb】据国内媒体消息, 特斯拉 上海工厂自5月1号休…
此外,Jurczyk 表示,虽然这种攻击看起来可能很密集,但也可以修改后在不提醒用户的情况下执行。这位谷歌研究人员说:” 我已经找到了让彩信消息完全处理的方法,而不触发 Android 上的通知声音,所以完全隐身攻击可能是可能的。”
此外,Jurczyk 表示,虽然他没有测试过通过彩信和三星信息应用之外的其他方法来利用 Qmage 漏洞,但理论上来说,针对三星手机上运行的任何能够接收到远程攻击者提供的 Qmage 图像的应用,都有可能被利用。
研究人员在 2 月份发现了该漏洞,并向三星报告了该问题。这家韩国手机制造商在 5 月的 2020 年安全更新中对该漏洞进行了补丁。该漏洞在三星安全公告中被追踪为 SVE-2020-16747,在 Mitre CVE 数据库中被追踪为 CVE-2020-8899。
车好多集团完成2亿美元新融资,投资方为软银等
车好多集团完成2亿美元新融资,投资方为软银等,,
近日, 瓜子二手车 、 毛豆新车网 母公司车好多集团宣布完成 2 …
