В Android закрыто больше 100 опасных уязвимостей

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев
Компания Google выпустила кумулятивное обновление безопасности для операционной системы Android, в рамках которого исправлены сразу 105 различных уязвимостей. Примерно треть из них относится к разряду критических. Источником многих критических уязвимостей стали компоненты сторонних производителей, в первую очередь Qualcomm. Всего с начала года Google исправил 253 бага Android.

Избиение багов

Компания Google выпустила третье за 2017 г. обновление безопасности для операционной системы Android. Новый патч оказался самым массивным с начала года: исправлены сразу 105 уязвимостей, из которых 35 получили статус «критических».

Всего же за два с небольшим месяца с начала 2017 года Google выпустил исправления для 253 уязвимостей.

Обычные подозреваемые

Девять критических уязвимостей приходятся на компонент под названием Mediaserver. Все они связаны с возможностью удалённого запуска кода на затронутых системах. Злоумышленнику потребуется создать специальный медиафайл, который вызовет нарушение целостности информации в памяти при его обработке.

Кроме того, на Mediaserver приходится семь уязвимостей со статусом «high» («высокий риск»), которые могут вызывать отказ в обслуживании, и две ошибки «средней опасности».

Среди других критических уязвимостей - возможность повышения привилегий для вредоносных приложений (CVE-2017-0475) в компоненте recovery verifier. Кроме того, выявлены критические ошибки в компонентах MediaTek (CVE-2017-0500 - CVE-2017-0506), драйверах графических чипов NVIDIA (CVE-2017-0337 - CVE-2017-0335) и Qualcomm (CVE-2016-8479), в сетевой подсистеме ядра (CVE-2016-9806, CVE-2016-10200) и подсистеме ION (CVE-2017-0507 - CVE-2017-0508) и других компонентах. Все эти уязвимости также позволяют повышать локальные привилегии или наносить перманентный вред устройству.

Google закрыла в Android 105 уязвимостей, 35 из которых были «критическими»

Источником целой грозди уязвимостей разного уровня опасности стали компоненты Qualcomm: патчи для них Google публиковал во всех своих обновлениях безопасности последних месяцев.

В последнем обновлении перечислены шесть критических уязвимостей и ещё несколько, представляющих повышенный риск. Проблемы наблюдаются в самых разных компонентах, в том числе сетевых, беспроводных, графических драйверах, сенсорах отпечатков пальцев, загрузчике и так далее.

Подробная информация о залатанных уязвимостях доступна на сайте Android.

Работа над ошибками

Небезупречным оказался и собственный форк OpenSSL (Google BoringSSL). Брешь позволяет злоумышленнику вызывать нарушение целостности данных в памяти - для чего ему потребуется создать специальный файл. В теории это будет означать возможность удалённого запуска произвольного кода с повышенными привилегиями.

«Обилие исправлений - это скорее свидетельство тому, что Google исправно делает работу над ошибками, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Любая современная операционная система - это огромные массивы программного кода, в которые неизбежно закрадываются ошибки. А популярность системы обуславливает активный и целенаправленный поиск уязвимостей в ней со стороны экспертов по безопасности и хакеров. Чем быстрее такие уязвимости закрываются, тем меньше вероятность их вредоносной эксплуатации».