刚推送的十一月 Android 安全性更新中,修复了 15 个重要漏洞。只是一个存在于 Linux 核心的漏洞未被包括在内,这漏洞会让骇客迅速地取得 Android 系统的完整存取权。研究员 Phil Oester 在十月时发现这漏洞,并相信它远在 2007 年就存在。漏洞被取名 Dirty COW 的原因,是因为它是基于复写系统(copy-on-write)之中,或纯粹是想搞笑吧。
不过 Google 也有在这个月的安全更新中,加入「补充」性质的固件修复给 Nexus 和 Pixel 设备。Threatpost 则指 Samsung 会在这个月推出有关的补丁。只是针对 Dirty COW 而对症下药的官方的 Android 系统修复更新,则是需要待到 12 月。
Oester 向 V3 形容这漏洞执行简单,不会失败,而且存在了好一段日子了。但同时 Dirty COW 又是非常复杂的,他是靠着拦截所有 HTTP 的进入流量,才发现漏洞的真相,并在沙盒中成功复制。
http://cn.engadget.com/2016/11/09/android-update-dirty-cow-exploit-no-patch/
