Wi-Fi软件漏洞让Android设备向攻击者敞开大门
cp5m 9年前
阿里巴巴安全团队向 Google 安全团队报告发现了一个 Wi-Fi 组件 wpa_supplicant 的漏洞,主要影响 Android,但 Windows 和 Linux 设备也可能受影响。
该漏洞有几分类似去年的 Heartbleed 漏洞,wpa_supplicant 在使用管理帧解析 SSID 信息时,没有正确验证传输数据的长度,因此存在缓冲区溢出漏洞,可能向攻击者暴露内存内容或允许攻击者向内存写入新数据。
攻击者可利用该漏洞让 wpa_supplicant 和 Wi-Fi 服务崩溃,一个特别构造的 SSID 可通过发送响应对受影响设备发动拒绝服务攻击。
修正 wpa_supplicant 的补丁已经发布,但根据 Android 市场的碎片化,很可能许多受影响设备不会得到更新。
来自: Solidot