Поделиться
В Android закрыто больше 100 опасных уязвимостей
Компания Google выпустила кумулятивное обновление безопасности для операционной системы Android, в рамках которого исправлены сразу 105 различных уязвимостей. Примерно треть из них относится к разряду критических. Источником многих критических уязвимостей стали компоненты сторонних производителей, в первую очередь Qualcomm. Всего с начала года Google исправил 253 бага Android.Избиение багов
Компания Google выпустила третье за 2017 г. обновление безопасности для операционной системы Android. Новый патч оказался самым массивным с начала года: исправлены сразу 105 уязвимостей, из которых 35 получили статус «критических».
Всего же за два с небольшим месяца с начала 2017 года Google выпустил исправления для 253 уязвимостей.
Обычные подозреваемые
Девять критических уязвимостей приходятся на компонент под названием Mediaserver. Все они связаны с возможностью удалённого запуска кода на затронутых системах. Злоумышленнику потребуется создать специальный медиафайл, который вызовет нарушение целостности информации в памяти при его обработке.
Кроме того, на Mediaserver приходится семь уязвимостей со статусом «high» («высокий риск»), которые могут вызывать отказ в обслуживании, и две ошибки «средней опасности».
Среди других критических уязвимостей - возможность повышения привилегий для вредоносных приложений (CVE-2017-0475) в компоненте recovery verifier. Кроме того, выявлены критические ошибки в компонентах MediaTek (CVE-2017-0500 - CVE-2017-0506), драйверах графических чипов NVIDIA (CVE-2017-0337 - CVE-2017-0335) и Qualcomm (CVE-2016-8479), в сетевой подсистеме ядра (CVE-2016-9806, CVE-2016-10200) и подсистеме ION (CVE-2017-0507 - CVE-2017-0508) и других компонентах. Все эти уязвимости также позволяют повышать локальные привилегии или наносить перманентный вред устройству.
Источником целой грозди уязвимостей разного уровня опасности стали компоненты Qualcomm: патчи для них Google публиковал во всех своих обновлениях безопасности последних месяцев.
В последнем обновлении перечислены шесть критических уязвимостей и ещё несколько, представляющих повышенный риск. Проблемы наблюдаются в самых разных компонентах, в том числе сетевых, беспроводных, графических драйверах, сенсорах отпечатков пальцев, загрузчике и так далее.
Подробная информация о залатанных уязвимостях доступна на сайте Android.
Работа над ошибками
Небезупречным оказался и собственный форк OpenSSL (Google BoringSSL). Брешь позволяет злоумышленнику вызывать нарушение целостности данных в памяти - для чего ему потребуется создать специальный файл. В теории это будет означать возможность удалённого запуска произвольного кода с повышенными привилегиями.
«Обилие исправлений - это скорее свидетельство тому, что Google исправно делает работу над ошибками, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Любая современная операционная система - это огромные массивы программного кода, в которые неизбежно закрадываются ошибки. А популярность системы обуславливает активный и целенаправленный поиск уязвимостей в ней со стороны экспертов по безопасности и хакеров. Чем быстрее такие уязвимости закрываются, тем меньше вероятность их вредоносной эксплуатации».
Поделиться
Короткая ссылка
