SOS :: Security Operation Space
14 ноября, четверг, 00:00
|
Hot News:

В Android исправили критические RCE-уязвимости

07 ноября 2019 г., четверг, 16:29

В ноябрьском комплекте патчей для мобильной операционной системы Google исправила около 40 серьезных багов.

Компания Google выпустила два комплекта обновлений для операционной системы Android. Наборы патчей, появившиеся 1 и 5 ноября 2019 года, содержат 38 заплаток, устраняющих баги в базовом фреймворке, ядре, библиотеках и других частях ОС. Разработчики также включили в ноябрьский апдейт исправления кода для компонентов Qualcomm, предоставленные производителем чипов.

Критические RCE-уязвимости в Android

Как следует из бюллетеня вендора, наибольшую угрозу безопасности представляют три критические ошибки в системных компонентах. В целях безопасности Google не раскрывает технических деталей уязвимостей, однако отмечает, что все они связаны с возможностью удаленного выполнения стороннего кода.

Как пояснили разработчики, как минимум в одном случае, чтобы запустить свой скрипт в контексте привилегированного процесса, злоумышленник должен отправить на устройство специально подготовленный файл. Последствия эксплуатации уязвимости могут оказаться катастрофическими, если автор атаки сумеет обойти или отключить механизмы безопасности ОС.

Заплатки для PoE-багов и патчи Quallcom

Апдейт содержит патчи для 13 недостатков, которые могут привести к эскалации привилегий на устройстве. В основном фреймворке Android исправлены четыре ошибки этого типа, системные компоненты и ядро получили по три заплатки, медиаплатформа — две. Еще восемь уязвимостей связаны с возможностью раскрытия важных данных. Одна из них имеет средний уровень угрозы, остальные оценены специалистами как опасные.

Как сообщает Google, три патча Qualcomm касаются драйвера графической подсистемы и программного обеспечения для работы с Wi-Fi. Еще 11 заплаток устраняют баги в компонентах с закрытым исходным кодом. Пять уязвимостей, закрытых производителем чипов, оценены как критические, остальные баги имеют высокий уровень угрозы.

Предыдущий комплект патчей для Android вышел в начале октября. Помимо заплаток для трех десятков опасных ошибок, апдейт содержал исправление критической 0-day уязвимости в компоненте Binder. Проблема с идентификатором CVE-2019-2215 допускала эскалацию привилегий и получение прав уровня root на целевом устройстве. Эксплуатация бага не предполагала взаимодействия с пользователем, но требовала установки вредоносного приложения.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
10:15
09:15
06:15
06:15
17:15
17:13
16:36
15:17
13:15
12:15
10:15
08:15
07:15
06:15
05:40
05:13
16:50
15:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.563
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.