阿里巴巴安全团队向Google安全团队报告发现了一个Wi-Fi组件wpa_supplicant的漏洞,主要影响Android, 但Windows和Linux设备也可能受影响。该漏洞有几分类似去年的Heartbleed漏洞,wpa_supplicant在使用管理帧解析 SSID信息时,没有正确验证传输数据的长度,因此存在缓冲区溢出漏洞,可能向攻击者暴露内存内容或允许攻击者向内存写入新数据。攻击者可利用该漏洞让 wpa_supplicant和Wi-Fi服务崩溃,一个特别构造的SSID可通过发送响应对受影响设备发动拒绝服务攻击。修正 wpa_supplicant的补丁已经发布,但根据Android市场的碎片化,很可能许多受影响设备不会得到更新。
文章转载自 开源中国社区 [http://www.oschina.net]