发布日期：2019-06-10
更新日期：2019-06-12

受影响系统：

Google Android 9.0
Google Android 8.1
Google Android 8.0
Google Android 7.1.2
Google Android 7.1.1
Google Android 7.0

描述：

---

BUGTRAQ  ID: 108554
CVE(CAN) ID: CVE-2019-2099/CVE-2019-2098/CVE-2019-2102/CVE-2019-2097

谷歌Android容易出现多个安全漏洞。

攻击者可以利用这些问题执行任意代码或获得提升的权限。漏洞利用尝试失败可能导致拒绝服务条件。
CVE-2019-2099：在nfa_rw_act.cc的nfa_rw_store_ndef_rx_buf中，由于缺少边界检查，可能存在越界写入。这可能导致本地特权升级，而无需额外的执行权限。开发需要用户交互。
CVE-2019-2098：在NotificationManagerService.java的areNotificationsEnabledForPackage中，由于缺少权限检查，可能存在权限绕过。这可能导致本地特权升级，无需额外特权。利用不需要用户交互。
CVE-2019-2102：在蓝牙低功耗（BLE）规范中，提供了示例长期密钥（LTK）。如果BLE设备将其用作硬编码的LTK，理论上可能会由于密码使用不当而导致攻击者在配对的Android主机上远程注入击键。利用不需要用户交互。
CVE-2019-2097：在HAliasAnalyzer.Query的氢 - alias-analysis.h中，由于类型混淆，可能存在内存损坏。这可能导致从恶意代理配置远程执行代码，无需额外的执行权限。利用不需要用户交互。


<*来源：谷歌
  
  链接：https://source.android.com/security/bulletin/2019-06-01.html#media-framework
*>

建议：

---

厂商补丁：

Google
------
Google已经为此发布了一个安全公告（）以及相应补丁:
：Android Security Bulletin—June 2019
链接：https://source.android.com/security/bulletin/2019-06-01.html#media-framework

补丁下载：

浏览次数：2987
严重程度：0（网友投票）