Android 曝出两个高危漏洞

Android系统本周曝出了两个新的高危漏洞，影响大量设备，很多设备可能永远得不到修复的机会。第一个漏洞是 Google Project Zero安全团队成员Mark Brand披露的，编号CVE 2016-3861，该漏洞允许攻击者执行恶意程序或本地提权。Brand称该漏洞极端危险，因为它可以通过多种方式利用。他同时披露了漏洞利用代码。

第二个漏洞编号CVE-2016-3862，类似Stagefright，能通过发送恶意图像文件利用，其中恶意代码能被隐藏在图像嵌入的Exif数据中。受害者无需任何操作就能遭到入侵。

本文转自d1net（转载）

Android 反序列化漏洞攻防史话 Java 在历史上出现过许多反序列化的漏洞，但大部分出自 J2EE 的组件。即便是 FastJSON 这种漏洞，似乎也很少看到在 Android 中被实际的触发和利用。本文即为对历史上曾出现过的 Android Java 反序列化漏洞的分析和研究记录。 序列化和反序列化是指将内存数据结构转换为字节流，通过网络传输或者保存到磁盘，然后再将字节流恢复为内存对象的过程。在 Web 安全领域
这款开源“神器”，可以找出Android设备最底层的Bootloader漏洞 本文讲的是这款开源“神器”，可以找出Android设备最底层的Bootloader漏洞，即使操作系统受到损害，智能手机的Bootloader固件也应该是安全的。但是近日，研究人员在4个主流芯片供应商的代码中发现了7个安全漏洞，这些漏洞会导致手机信任链在引导过程中被攻破，从而使设备遭受攻击。
高通安全执行环境高危漏洞影响全球六成安卓设备 本文讲的是高通安全执行环境高危漏洞影响全球六成安卓设备，高通安全执行环境 (Qualcomm Secure Execution Environment, QSEE) 中的一个关键提权漏洞 (Elevation of Privilege, EOP) 仍影响全世界大约六成的安卓设备。