影响多家 Android 原始设备制造商 (OEM) 的本地特权提高缺点的概念验证 (PoC) 缝隙现已在 GitHub 上发布。但是，因为该缝隙需求本地拜访，因而其发布将主要对专业研讨人员有所协助。

  该缝隙的存在是因为运用测验密钥对 APEX 模块进行不安全签名，答应攻击者向渠道组件推送歹意更新，因而导致本地权限提高。虽然该缝隙无法直接长途运用，但它凸显了兼容性测验套件 (CTS) 和 Android 开源项目 (AOSP) 文档中的缺点，Google 方案在行将发布的 Android 15 版别中处理这些缺点。

  有研讨人员宣布了一篇文章， 解说说问题就在于运用 AOSP 揭露的测验密钥签署 APEX 模块。

  APEX 模块使 OEM 能够推送特定体系组件的更新，而无需发布完好的无线 (OTA) 更新，然后使更新包更精简、更易于测验并交付给最终用户。

  这些模块应运用在构建过程中创立的只要 OEM 知道的私钥进行签名。但是，运用 Android 源代码构建树中的相同公钥，意味着任何人都能够假造要害体系组件更新。此类更新或许会为攻击者供给更高的设备权限，然后绕过现有的安全机制并导致全面走漏。

  上述模型仅触及测验掩盖规模，因而这些 OEM 的多个（若不是悉数）模型或许简单遭到 CVE-2023-45779 的影响。

  多家 OEM 未能发现安全问题的原因是多方面的，包含 AOSP 中不安全的默认设置、文档缺乏以及 CTS 掩盖规模缺乏，未能检测到 APEX 签名中测验密钥的运用。

  一般，该缺点需求对方针设备做物理拜访，并需求一些运用“adb shell”来运用它的专业相关常识，因而 PoC 大多数都用在研讨和缓解验证。但是，正如咱们屡次看到的那样，该缝隙一直有或许会被用作缝隙链的一部分 ，以提高已受损设备上的权限。

  如果您的 Android 设备正常运转的版别早于 Android 安全补丁等级 2023-12-05，请考虑切换到发行版或升级到较新的类型。

  特别声明：以上内容(如有图片或视频亦包含在内)为自媒体渠道“网易号”用户上传并发布，本渠道仅供给信息存储服务。

  血压瞬间有点高～ #萌娃日常 #人类幼崽的800个心眼子 #被萌娃的表情拿捏了 #斗智斗勇的日常 #...

  孩子都喜爱涂涂画画，家里能组织这样一个多功能画架，双面可用，能够用到十几岁，女儿喜爱的不得了

  儿童轿车闯关大冒险 这到底是哪个人才创造的，宝宝很喜爱，也不拿手机玩了！