В Android исправили критические RCE-уязвимости
Компания Google выпустила два комплекта обновлений для операционной системы Android. Наборы патчей, появившиеся 1 и 5 ноября 2019 года, содержат 38 заплаток, устраняющих баги в базовом фреймворке, ядре, библиотеках и других частях ОС. Разработчики также включили в ноябрьский апдейт исправления кода для компонентов Qualcomm, предоставленные производителем чипов.
Критические RCE-уязвимости в Android
Как следует из бюллетеня вендора, наибольшую угрозу безопасности представляют три критические ошибки в системных компонентах. В целях безопасности Google не раскрывает технических деталей уязвимостей, однако отмечает, что все они связаны с возможностью удаленного выполнения стороннего кода.
Как пояснили разработчики, как минимум в одном случае, чтобы запустить свой скрипт в контексте привилегированного процесса, злоумышленник должен отправить на устройство специально подготовленный файл. Последствия эксплуатации уязвимости могут оказаться катастрофическими, если автор атаки сумеет обойти или отключить механизмы безопасности ОС.
Заплатки для PoE-багов и патчи Quallcom
Апдейт содержит патчи для 13 недостатков, которые могут привести к эскалации привилегий на устройстве. В основном фреймворке Android исправлены четыре ошибки этого типа, системные компоненты и ядро получили по три заплатки, медиаплатформа — две. Еще восемь уязвимостей связаны с возможностью раскрытия важных данных. Одна из них имеет средний уровень угрозы, остальные оценены специалистами как опасные.
Как сообщает Google, три патча Qualcomm касаются драйвера графической подсистемы и программного обеспечения для работы с Wi-Fi. Еще 11 заплаток устраняют баги в компонентах с закрытым исходным кодом. Пять уязвимостей, закрытых производителем чипов, оценены как критические, остальные баги имеют высокий уровень угрозы.
Предыдущий комплект патчей для Android вышел в начале октября. Помимо заплаток для трех десятков опасных ошибок, апдейт содержал исправление критической 0-day уязвимости в компоненте Binder. Проблема с идентификатором CVE-2019-2215 допускала эскалацию привилегий и получение прав уровня root на целевом устройстве. Эксплуатация бага не предполагала взаимодействия с пользователем, но требовала установки вредоносного приложения.
Источник: https://threatpost.ru/november-android-security-update-patches-three-critical-rce-vulns/34753/