浏览图片可致安卓手机远程被黑 工业用冰柜可被远程解冻

PNG图片暗藏漏洞，安卓系统7.0、8.0和9.0版用户最好补丁一出就尽快打上。

安卓安全公告牌本月警示：看起来无害的图片暗藏漏洞，无论是互联网上浏览的还是通过手机彩信接收的，都有可能令用户安卓手机被黑。尽管该警告显然不针对所有图片格式，恶意构造的PNG图片还是有可能被用于劫持大量安卓手机——运行有7.0、8.0和最新9.0版安卓系统的那些。

最新公告列出了42个漏洞，其中11个是关键漏洞。最严重的关键漏洞存在于Framework，可供远程攻击者使用特别构造的PNG图片文件在特权进程上下文中执行任意代码。

尽管谷歌没有这些漏洞被利用的报告，但攻击者如何将这些漏洞用于现实世界攻击，如何攻击，我们仍未可知。安卓用户最好及时打上安全补丁。但即便你的安卓机保持接收安全更新，制造商和运营商要花多久才推送补丁又是另一码事了，可能数周，也可能数月。

数千台联网工业用冰柜因默认口令可被远程解冻

安全研究人员确定，Resource Data Management (RDM)制造的温控系统使用默认口令，医院、超市和餐馆所用的数千台联网工业用冰柜可被黑客远程解冻。

Safety Device 的研究人员介绍，联网工业用冰柜可通过浏览器访问，解冻这样一台冰柜仅需点击按钮并输入默认用户名及口令即可。研究人员在网络设备搜索引擎Shodan的帮助下找到了7,149台RDM产品，包括马来西亚最大的制药公司都在用这些存在安全隐患的设备。研究人员建议用户尽快修改默认口令，以防攻击者控制这些系统。

安卓安全公告：

https://source.android.com/security/bulletin/2019-02-01.html