震惊！漏洞潜伏三年 或影响66%的Android设备

action08

据Wired报道，以色列安全公司Perception Point在Linux内核中发现了一个0day漏洞，会影响数千万Linux电脑和服务器，以及66%的Android手机和平板。而且漏洞已经存在了三年。

Perception表示，漏洞存在于Linux密钥环(keyring)，应用可于此存储认证和加密密钥，安全数据以及其它敏感信息。它会让黑客伪装成本地用户，获得root权限，从而安装恶意程序，删除文件，读取敏感信息。而且黑客获得权限的方式很简单，只需要一个钓鱼链接即可。

谁受到影响？

根据现在的数据，还没人受到影响，但鉴于受影响设备众多，还是需要防范。

Perception表示，根据他们和安全社区的调查，目前还没人使用这一漏洞，但建议安全人员对设备进行排查，及时安装补丁。

受影响的设备主要是安装了Linux内核3.8及以上版本的电脑和服务器；另外，由于Android也使用了部分Linux代码，所以漏洞也会影响4.4及以上版本的Android设备，而这些约占所有Android设备的69.4%。

Google在得知漏洞后也很积极，表示已经准备好了补丁，今天就会发给各合作公司，而且认为受影响的设备没最初预计的那么多。它表示，Nexus设备不会受第三方应用的影响，Android 5.0及以上版本亦不会受影响，许多Android 4.4和早期的版本的手机不含linux内核3.8版的漏洞代码。

这事严重吗？

在企业端，Red Hat和Ubuntu都已经发布了更新，就差系统管理员打补丁了；但在Android上问题就有点麻烦了。虽然Google每月都有安全更新，但它并没说2月的更新会不是包括新漏洞的补丁。另外，就算Google补上了，用户还要看运营商和手机厂商的脸，等他们把更新推给自己。所以，有些手机上的漏洞可能永远不会补上。

还有一个好消息，保护自己手机免受漏洞影响的方式其实很简单，不随便点陌生链接就行了。


http://app.techweb.com.cn/android/2016-01-21/2265131.shtml

action08

算Google补上了，用户还要看运营商和手机厂商的脸，等他们把更新推给自己。所以，有些手机上的漏洞可能永远不会补上。