谷歌非常擅长尽快发布Nexus设备的更新，这个新的更新必须尽快进行。一个名为CVE-2015-1805的新漏洞是一个根应用程序，它在内核中使用了未打补丁的本地权限提升漏洞。该漏洞于2014年4月首次被发现并修复，但直到2015年2月2日才被指定为安全修复。

2016年2月19日，核心团队告诉谷歌，可以利用这个漏洞，开发一个补丁。直到上周，2016年3月15日，Zimperium才发现这个漏洞在Nexus 5手机上被滥用了。

由于本地权限提升和任意代码执行可能会损坏本地永久设备，因此此问题被视为严重问题

该漏洞适用于内核版本为3.4、3.10和3.14的所有未打补丁的Android设备。运行内核版本3.18的Android设备不容易受到攻击。

“在3.16之前的Linux内核中，fs/pipe.c中的(1)pipe_read和(2)pipe_write的实现没有正确考虑_ _ copy _ to _ user _ inautomatic和_ _ copy _ from _ user _ inautomatic调用失败的副作用，这可能导致本地用户拒绝服务(系统崩溃)或可能通过精心设计的

什么是漏洞？

安全漏洞是产品中的弱点，它可能允许攻击者破坏产品的完整性、可用性或保密性。如常见漏洞和披露(CVE)中所述，

对于CVE，漏洞是计算系统(或一组系统)中的一种状态，其中：

允许攻击者以其他用户的身份执行命令。

允许攻击者访问与数据的指定访问限制相反的数据。

允许攻击者冒充另一个实体

允许攻击者执行拒绝服务。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：