Истина где-то ниже
Декабрь 7, 2018

Google закрыла 11 критических уязвимостей в Android

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Декабрьский набор патчей для Android-устройств совокупно устраняет 53 уязвимости, в том числе 11 критических. Данных об использовании какой-либо бреши в реальных атаках на настоящий момент нет.

Наиболее серьезны шесть RCE-багов, выявленных в компонентах Media Framework и System. Согласно бюллетеню Google, они позволяют удаленно выполнить произвольный код «в контексте привилегированного процесса».

Пять критических уязвимостей привязаны к компонентам с закрытым исходным кодом производства Qualcomm. К какому типу они относятся, неизвестно: на сайте вендора информация по этим брешам представлена очень скупо.

Девять брешей, степень опасности которых оценена как высокая, открывают возможность для повышения привилегий. Один из таких EoP-багов (CVE-2018-10840) связан с использованием в ОС Android расширенной файловой системы ext4. «Ядро Linux  подвержено ошибке переполнения буфера в куче, возникающей при выполнении функции fs/ext4/xattr.c:ext4_xattr_set_entry(), — сказано в записи Red Hat, внесенной в базу Bugzilla. — Злоумышленник может ею воспользоваться, подключив специально созданный образ ext4″.

В компонентах Qualcomm обнаружено 27 брешей высокой степени опасности. Данных о них тоже мало.

Кроме Google, декабрьские обновления выпустили LG и Samsung. Бюллетень LG содержит информацию о трех опасных багах, свойственных лишь продуктам компании. Samsung дополнительно устранила около 40 уязвимостей, в том числе две критических ошибки переполнения буфера, характерных для Android-устройств на базе микропроцессоров Exynos. Одна из них грозит исполнением вредоносного кода, другая — «проблемами памяти».

Источник: https://threatpost.ru/google-patches-11-critical-rce-android-vulnerabilities/29572/