Google выпустила первый публичный бюллетень безопасности для Android

Тема в разделе "Новости мобильных технологий", создана пользователем Phoenix, 15 авг 2015.

  1. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    13 августа в 12:45
    Google выпустила первый публичный бюллетень безопасности для Android
    Google выпустила бюллетень безопасности Nexus Security Bulletin (August 2015) для Android, в котором указываются исправленные уязвимости в рамках обновления, о котором мы писали ранее на прошлой неделе. Компания перешла к выпуску ежемесячных security-обновлений для своих продуктов, для них будут публиковаться бюллетени безопасности с информацией об исправленных уязвимостях.

    [​IMG]

    Обновление относится к типу over-the-air (OTA), т. е. может быть установлено по беспроводному подключению, и предназначено для установки на фирменные смартфоны Nexus 4/5/6/7/9/10. Обновление также было выпущено для репозитория исходных текстов Android Open Source Project (AOSP). Всего было исправлено шесть уязвимостей в Android.

    Критическая Remote Code Execution (RCE) уязвимость CVE-2015-1538 (Integer overflows during MP4 atom processing) типа integer overflow (целочисленного переполнения) в библиотеке libstagefright может быть использована атакующими для удаленного исполнения кода. Уязвимости присвоен критический уровень, поскольку эксплуатация может быть выполнена в рамках привилегированного сервиса mediaserver, что дает атакующим полный доступ к устройству, включая, ядро и драйверы. В рамках обновления были также исправлены приложения Hangouts и Messenger таким образом, чтобы отправляемые мультимедийные файлы не поступали на обработку процессу mediaserver. Для эксплуатации атакующие могут разместить вредоносное содержимое на удаленном сервере, а ссылка на него может быть отправлена в качестве MMS сообщения или через встроенный мессенджер.

    Прочие пять критических уязвимостей также относятся к библиотеке libstagefright и позволяют атакующим удаленно исполнить код с максимальными привилегиями в системе. Разница лишь заключается в типах обрабатываемых данных, через которые может быть выполнена эксплуатация (MP4, ESDS, MPEG4 tx3g, MPEG4 covr, 3GPP, MPEG4).

    CVE-2015-1539: An integer underflow in ESDS processing
    ID: ANDROID-20139950
    Versions: 5.1 and below
    Severity: Critical
    Partners notified: May 4, 2015 (Bulletin 2015-07)
    Fixed in Nexus Build: 5.1.1 (LMY48I)

    CVE-2015-3824: Integer overflow in libstagefright when parsing the MPEG4 tx3g atom
    ID: ANDROID-20923261
    Versions: Android 5.1 and below
    Severity: Critical
    Partners notified: June 25th, 2015 (Bulletin 2015-09)
    Fixed in Nexus Build: 5.1.1 (LMY48I)

    CVE-2015-3827: Integer underflow in libstagefright when processing MPEG4 covr atoms
    ID: ANDROID-20923261
    Versions: Android 5.1 and below
    Severity: Critical
    Partners notified: June 25th, 2015 (Bulletin 2015-09)
    Fixed in Nexus Build: 5.1.1 (LMY48I)

    CVE-2015-3828: Integer underflow in libstagefright if size is below 6 while processing 3GPP metadata
    ID: ANDROID-20923261
    Versions: Android 5.0 and above
    Severity: Critical
    Partners notified: June 25th, 2015 (Bulletin 2015-09)
    Fixed in Nexus Build: 5.1.1 (LMY48I)

    CVE-2015-3829: Integer overflow in libstagefright processing MPEG4 covr atoms when chunk_data_size is SIZE_MAX
    ID: ANDROID-20923261
    Versions: Android 5.1 and below
    Severity: Critical
    Partners notified: June 25th, 2015 (Bulletin 2015-09)
    Fixed in Nexus Build: 5.1.1 (LMY48I)

    Мы рекомендуем пользователям обновить свои устройства.

    [​IMG]
    be secure.
     
    akok, Kиpилл и ScriptMakeR нравится это.

Поделиться этой страницей