漏洞 | 状态 |
CVE-2015-7888 | 已修复 |
CVE-2015-7889 | 已修复 |
CVE-2015-7890 | 已修复 |
CVE-2015-7891 | 已修复 |
CVE-2015-7892 | 已修复 |
CVE-2015-7893 | 未修复 |
CVE-2015-7894 | 已修复 |
CVE-2015-7895 | 未修复 |
CVE-2015-7896 | 已修复 |
CVE-2015-7897 | 已修复 |
CVE-2015-7898 | 未修复 |
为期一周的安全审查中,Project Zero团队向“可被常规攻击的Android安全边界”发起挑战,查看通过常规攻击手段是否在不引起消费者注意的情况下获取用户的通讯录、照片和短信等敏感信息;通过Google Play上安装应用来入侵Android手机且不需要获得用户任何授权;在设备上发起攻击使其能够进行双清等等。
团队在三星手机上发现了可运行系统特权的进程,能够通过给与的URL连接解压缩下载的ZIP文件。谷歌表示:“这是多么的令人感到遗憾,用于解压缩文件的API并不会核实文件路径,所以能够从不期望的地址上执行写入操作,使用Dalvik缓存能够充分利用漏洞。”