Wi-Fi软件漏洞让Android设备向攻击者敞开大门

cp5m 10年前

阿里巴巴安全团队向 Google 安全团队报告发现了一个 Wi-Fi 组件 wpa_supplicant 的漏洞,主要影响 Android,但 Windows 和 Linux 设备也可能受影响。

该漏洞有几分类似去年的 Heartbleed 漏洞,wpa_supplicant 在使用管理帧解析 SSID 信息时,没有正确验证传输数据的长度,因此存在缓冲区溢出漏洞,可能向攻击者暴露内存内容或允许攻击者向内存写入新数据。

攻击者可利用该漏洞让 wpa_supplicant 和 Wi-Fi 服务崩溃,一个特别构造的 SSID 可通过发送响应对受影响设备发动拒绝服务攻击。

修正 wpa_supplicant 的补丁已经发布,但根据 Android 市场的碎片化,很可能许多受影响设备不会得到更新。

来自: Solidot