安全研究员报告了一个漏洞利用链，能够用来黑掉谷歌Pixel智能手机，为此，谷歌提供了112500美元的奖金。

       2017年8月，360公司Alpha团队白帽子发现了新的漏洞利用链，上周谷歌披露了该漏洞技术细节。据悉，该白帽子是通过Android安全奖励（ASR）计划提交了两个漏洞CVE-2017-5116和CVE-2017-14904。

       谷歌发布的分析显示：“该漏洞链包括两个漏洞，CVE-2017-5116和CVE-2017-14904。 CVE-2017-5116是一个V8引擎错误，用于在沙盒渲染过程中获得远程代码执行。 CVE-2017-14904是Android的libgralloc模块中的一个漏洞，用于Chrome的沙箱中。 通过访问Chrome中的恶意URL，这个漏洞利用链可以用来将任意代码注入到system_server中。”

       利用该漏洞，攻击者可以在访问Chrome中的恶意URL时，将任意代码远程注入到system_server进程中。在遭受攻击的情况下，受害者可能被诱骗点击这样的恶意URL，进而彻底搞定他们的移动设备。

       因为这个漏洞链，这位白帽子获得了105000美元奖励，他还通过Chrome Rewards计划获得了7500美元的额外奖金。Google解决了这个漏洞，作为谷歌Android 12月安全公告42个漏洞的一部分。

       Pixel智能手机以及使用A/B更新的合作设备，都能够自动安全更新了来解决这个了漏洞。

       “Android安全小组对我们的报告作出了快速反应，并在2017年12月的安全更新中包含了这两个漏洞的修复。受支持的Google设备和设备安全补丁级别为2017-12-05或更高版本，都可解决这些问题。”谷歌总结道。

       迄今为止，ASR的总支出奖励超过了150万美元，最高研究团队凭借118个漏洞报告赚取了30万美元。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com                   

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。