三星手机惊现严重安全漏洞！持续6年才被修复

三星发布每月安全更新，2014年底开始销售的智能手机存在一个“perfect 10”关键安全漏洞，一经利用，可启用任意远程代码。

报道称，三星于2014年年末为所有自家手机加入了对Qmage图像格式(.qmg)的支持，而三星的定制安卓系统在处理Qmage上存在漏洞。

谷歌“零号项目”安全研究员Mateusz Jurczyk发现了一种利用Skia (安卓图形库)处理发送到设备的Qmage图像的方法。

Jurczyk表示，Qmage错误可以在零点击的情况下利用，而无需用户进行操作。通过向三星设备重复发送MMS信息，每条消息都试图猜测Skia库在Android手机内存中的位置,这是绕过安卓的ASLR（地址空间配置随机加载）保护的必要操作。

攻击者通常需要100分钟左右的时间，发送50到300条彩信来探测和绕过ASLR。一旦Skia库在内存中的位置被确定，最后一条彩信就会传递出实际的Qmage有效载荷，然后在设备上执行攻击者的代码。

虽然这种攻击看起来可能很密集，但也可以在修改后以不提醒用户的情况下执行。三星在5月的安全更新中对此进行了修复。

【1】 行业干货！最全电阻器基础知识与检测方法

【2】 MLCC 行业专题报告

【3】 超级干货！二十种电容分类详解（附常用电子元件实物图片大全）

【4】 干货 | 关于半导体FAB厂的技术100个问题汇总

【5】 特斯拉停工！暂停生产Model 3等电动汽车（附产业链）