Android Security Ecosystem Investments Pay Dividends for Pixel

随机文章
原文链接:android-developers.googleblog.com

从 Android Security Rewards (ASR) 计划以来,第一个,第一个被发现的远程利用漏洞链,第一个啊!这个真实牛逼都不行。从个人来看,这个漏洞利用链,真心可以列入国家级别的网络利用武器了,因为真心牛逼了这个漏洞!浏览器刷个网页就几乎就算 root 了手机了

仔细看看文中的分析,涉及两个 Android 漏洞。一个是利用利用 Chrome 浏览器 SharedArrayBuffer 的 RCE漏洞 CVE-2017-5116,另外一个则是沙箱逃逸的 EoP 错误(CVE-2017-14904)。这两个漏洞没有早一步也没有迟一步,刚刚好形成漏洞利用链

顺便说,这是我们国人的成果,来自 Guang Gong (@oldfresher) of Alpha Team, Qihoo 360 Technology Co. Ltd