Google исправила уязвимость удаленного выполнения кода в Android

Candellmans

Команда форума
Сообщения
4,046
Реакции
6,552
Баллы
473
Google исправила уязвимость удаленного выполнения кода в Android

9/01/2020
Компания Google выпустила плановые обновления безопасности для Android, исправив ряд уязвимостей в различных компонентах, включая семь опасных и одну критическую.

1578563165108.png

Критическая уязвимость (CVE-2020-0002) содержится в платформе Android Media, включающей поддержку воспроизведения различных типов мультимедийных файлов. Проблема затрагивает версии ОС Android 8.0, 8.1 и 9. Эксплуатация данной уязвимости позволяет удаленному злоумышленнику с помощью специально созданного файла выполнить произвольный код в контексте привилегированного процесса.

Также были исправлены уязвимости повышения привилегий (CVE-2020-0001 и CVE-2020-0003) и проблема, связанная с вызовом отказа в обслуживании (CVE-2020-0004) во фреймворке Android. Их эксплуатация «позволяла локальному вредоносному приложению обойти требования взаимодействия с пользователем и получить доступ к дополнительным разрешениям».

Кроме того, в Android были исправлены три опасные уязвимости (CVE-2020-0006, CVE-2020-0007, CVE-2020-0008), которые могли привести к удаленному раскрытию информации без необходимости дополнительных привилегий.

Кроме прочего, было исправлено двадцать девять уязвимостей в компонентах Qualcomm, которые используются в устройствах Android. Одна критическая уязвимость содержалась в драйвере rtlwifi Qualcomm Realtek (CVE-2019-17666) и позволяла удаленно выполнить код. Драйвер rtlwifi является программным компонентом, позволяющим некоторым модулям Realtek Wi-Fi, использующимся в Linux-устройствах, обмениваться данными с ОС Linux.


Securitylab
 
Сверху Снизу