近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,多个调用安卓操作系统FileProvider组件的移动互联网应用程序(以下简称APP)存在路径遍历高危漏洞,可被恶意利用实施网络攻击。
FileProvider组件是美国谷歌公司推出的安卓操作系统中的一个组件,为应用程序间提供文件共享。如果调用该组件的APP没有正确处理服务器应用程序提供的文件名,攻击者可利用该漏洞覆盖客户端APP中特定存储位置的文件,绕过应用程序主目录中的读写限制,甚至导致恶意代码执行,控制APP所在设备,多个调用FileProvider组件的安卓APP已被发现存在该漏洞。
目前,安卓官方已经发布了修补该漏洞的安全开发指南(https://developer.android.com/privacy-and-security/risks/untrustworthy-contentprovider-provided-filename),建议相关APP主办者排查自身APP漏洞,参考安卓官方安全开发指南修改APP源代码,发布升级后的APP,消除漏洞风险。建议移动终端用户及时更新APP至最新版本,仅安装来源可信的APP,避免潜在的恶意应用程序。
转载自:NVDB 网络安全威胁和漏洞信息共享平台