 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Мартовские патчи для Android закрывают 11 критических уязвимостей, в том числе три в системных компонентах.
Мартовский набор патчей для Android устраняет 11 критических уязвимостей. Три из них кроются в самой системе, остальные — в компонентах производства Qualcomm.
Две уязвимости, позволяющие выполнить произвольный код с высокими привилегиями (CVE-2019-1989 и CVE-2019-1990), были выявлены в библиотеках мультимедиа — Media framework. Эти критические бреши актуальны для Android 7.0 (Nougat) и последующих версий ОС. Официальных данных о них пока нет, однако по техническому описанию на сайте The LineageOS Project можно заключить, что обе уязвимости связаны с подачей команд через API управления видео.
Третья критическая уязвимость (CVE-2019-2009), судя по записи об изменении кода на GitHub, связана с использованием Bluetooth, а точнее, с выполнением функции l2c_lcc_proc_pdu операционной системой. В прошлом году в этой функциональности была зарегистрирована уязвимость, вызванная возможностью записи за пределами буфера и позволяющая удаленно повысить привилегии через Bluetooth. Google пропатчила ее в декабре. Новая брешь, по всей видимости, тоже возникла из-за проблемы с проверкой границ буфера, однако последствия применения эксплойта в данном случае более серьезны — он позволяет удаленно выполнить любой код в контексте привилегированного процесса.
Восемь критичных проблем в компонентах Qualcomm на самом деле вызваны наличием одной из трех уязвимостей: CVE-2017-8252, CVE-2018-11817 или CVE-2018-11958. Согласно описанию на сайте разработчика, брешь CVE-2017-8252 грозит раскрытием информации при обработке операций с использованием TrustZone — специальной секции ядра Android, имеющей собственную операционную систему.
Уязвимость CVE-2018-11817 связана с работой специализированного процессора Qualcomm для цифровой обработки сигналов. CVE-2018-11958 возникла из-за неадекватной защиты клавиатурного ввода.
Совокупно Google закрыла 45 брешей, почти половина из них позволяют повысить привилегии в системе.
Samsung пропатчила в своих смартфонах девять критических уязвимостей. Три из них (CVE-2019-1989, CVE-2019-1990 и CVE-2019-2009) упомянуты в новом бюллетене Google, пять — в февральском, а одна характерна лишь для устройств Samsung, использующих чипсеты Exynos.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
