由於Google Android軟體開發套件(Software Development Kit;SDK)使用了幾個較過時、且容易受攻擊的開放源碼影像處理函式庫,因此被發現出8處資安弱點。此為Core Security公司的安全軟體專員所言。在2008年3月4日的諮詢報告中,Core Security公司發現Android可用幾種累積溢位及整數溢位等方式入侵。
這些圖像處理函式庫屬於核心函式庫,其中有一些經常用來處理常見的影像格式,例如.PNG、.GIF、.BMP等。
雖然Google Android專案目前還在開發階段,還未正式發表,但Core Security公司也提到:有些手機晶片業者已開發出支援Android的原型品手機,這些原型品手機也有資安疑慮。
有關此一漏洞也獲得證實,Jason Chen在Android Developer Blog的部落格上坦承Android在處理影像檔時確實有此資安疑慮,不過最近這個漏洞已透過m5-rc15的修補獲得解決。(全文完)
0 意見:
張貼意見