【漏洞预警】CVE-2019-2107，黑客可在Android手机播放视频时入侵

华盟君引言“小心！由于Android OS版本7.0和9.0之间存在严重的CVE-2019-2107 RCE缺陷，因此在Android设备上播放视频可能是一项危险的操作。”

使用Android的原生视频播放器应用程序在设备上播放特制视频可能会使攻击者因危险的关键远程代码执行缺陷而危及它们。该漏洞被追踪为CVE-2019-2107，在版本7.0和9.0（Nougat，Oreo或Pie）之间影响Android操作系统，可能会影响超过10亿台设备。
RCE缺陷CVE-2019-2107驻留在Android媒体框架中。
谷歌已经通过2019年7月的Android安全公告解决了这一漏洞，但数百万台设备仍在等待其制造商发布补丁。
“本节[媒体框架]中最严重的漏洞可能使远程攻击者使用特制文件在特权进程的上下文中执行任意代码，”阅读安全公告。
Android开发人员Marcin Kozlowski也发布了一个  概念验证  代码来利用这个漏洞。
该 的PoC代码是HEVC编码的视频，可能允许攻击者使媒体播放器崩溃。攻击者可能会开发一种利用来远程执行任意代码。

但是，应该注意的是，如果通过WhatsApp或Facebook等即时通讯应用程序接收此类恶意视频信使或上传 上 像YouTube或Twitter这样的服务，攻击无效。
“CVE-2019-2107 - 看起来很吓人。还记得Stagefright和PNG的错误vulns ...。 使用CVE-2019-2107，解码器/编解码器运行在 mediacodec用户和正确“制作”的视频（启用了瓷砖 - ps_pps-> i1_tiles_enabled_flag）你可以做RCE。受影响的编解码器是HVEC（又名H.265和MPEG-H第2部分）“ Kozlowski 写道。