 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
В июньских обновлениях исправлено 57 серьезных уязвимостей, в том числе затрагивающих ядро ОС.
Компания Google пропатчила 57 уязвимостей в ОС Android, ядре системы и компонентах, связанных с чипсетами MediaTek, NVIDIA и Qualcomm. Одиннадцать багов считаются критическими, а остальные 46 — высокой степени риска.
Представители разработчика пояснили, что самыми опасными являются бреши CVE-2018-9341, CVE-2018-5146 и CVE-2017-13230, позволяющие удаленное выполнение кода в медиаплатформе Android.
CVE-2018-5146 имеет отношение к аудиокодеку Ogg Vorbis с открытым исходным кодом. Уязвимость связана с записью в память с выходом за границы выделенной области во время обработки аудиоданных Vorbis через медиаплатформу. О баге стало известно 16 марта во время соревнования хакеров Pwn2Own благодаря Хузайфе Сидпурвале (Huzaifa Sidhpurwala), старшему инженеру по безопасности продуктов в Red Hat. По данным издания Rapid7, брешь также закралась в некоторые версии браузера Mozilla Firefox и почтового клиента Thunderbird.
Вторая уязвимость удаленного выполнения кода (CVE-2017-13230) представляет собой аналогичную проблему в видеокодеке High Efficiency Video Coding (H.265), входящем в медиаплатформу Android. Впервые о существовании бага стало известно 2 февраля, и уже 5 февраля инженеры Google закрыли его в рамках февральского бюллетеня безопасности Android для версий 7.0 и выше. Теперь патчи получат владельцы устройств с Android 6.0.
“Запись вне допустимого диапазона происходит из-за неправильной проверки границ в значении i2_pic_width_in_luma_samples в кодеке HEVC. Этот баг может привести к эскалации привилегий удаленного пользователя, дающей ему право на выполнение кода”, — гласит описание CVE в Национальной базе данных уязвимостей США.
Организации Google и MITRE не сообщили никаких подробностей о третьей уязвимости (CVE-2018-9341).
Разработчик также закрыл критическую брешь в чипсете MediaTek. Баг приводил к ряду сценариев переполнения буфера в трастлете Android (доверенный процесс или процесс IUM). “По причине отсутствия проверки границ в буфере трастлета возможно повреждение памяти”, — пишут специалисты Samsung в своем бюллетене.
Четыре критические заплатки получили чипсеты Qualcomm. Две бреши (CVE-2017-18158 и CVE-2018-5854) закрались в загрузчик, одна (CVE-2018-3569) связана с хостом WLAN, а последняя вызвана недоработкой в “аппаратном кодеке” (CVE-2017-18155).
Представители Google пообещали, что устройства серий Pixel и Nexus уже с понедельника начнут получать патчи “по воздуху”. Чтобы охватить всю линейку Nexus, потребуется около полутора недель. Samsung, LG и другие производители обычно вслед за Google обновляют уязвимые гаджеты, но в рамках ежемесячных выпусков. При этом зачастую производители не сразу включают в такие выпуски все необходимые исправления. Например, в случае с компанией Samsung “некоторые патчи, ожидаемые от поставщиков чипсетов (под конкретные модели), могут не войти в пакет обновлений безопасности в этом месяце. Как только они будут готовы, мы включим их в ближайшее плановое обновление”. Чтобы убедиться в совместимости патчей, обычно сначала их проверяют на целевых устройствах.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
