Избиение багов
Компания Google выпустила третье за 2017 г. обновление безопасности для ОС Android. Новый патч был самым массивным В первую очередь года: исправлены сходу 105 уязвимостей, из которых 35 приобрели статус «критических».
Всего же за два с маленьким месяца В первую очередь 2017 года Гугл выпустил исправления для 253 уязвимостей.
Простые подозреваемые
Девять критических уязвимостей приходятся на компонент называющиеся Mediaserver. Все они связаны с возможностью удалённого запуска кода на затронутых совокупностях. Преступнику потребуется создать особый медиафайл, что приведёт к нарушению целостности информации в памяти при его обработке.
Помимо этого, на Mediaserver приходится семь уязвимостей со статусом «high» («большой риск»), каковые смогут приводить к отказу в обслуживании, и две неточности «средней опасности».
Среди вторых критических уязвимостей — возможность увеличения привилегий для вредоносных приложений (CVE-2017-0475) в компоненте recovery verifier. Помимо этого, распознаны критические неточности в компонентах MediaTek (CVE-2017-0500 — CVE-2017-0506), драйверах графических чипов NVIDIA (CVE-2017-0337 — CVE-2017-0335) и Qualcomm (CVE-2016-8479), в сетевой системе ядра (CVE-2016-9806, CVE-2016-10200) и системе ION (CVE-2017-0507 — CVE-2017-0508) и других компонентах. Все эти уязвимости кроме этого разрешают повышать локальные привилегии либо наносить перманентный вред устройству.
Гугл закрыла в Android 105 уязвимостей, 35 из которых были «критическими»
Источником целой грозди уязвимостей различного уровня опасности стали компоненты Qualcomm: патчи для них Гугл публиковал во всех собственных обновлениях безопасности последних месяцев.
В последнем обновлении перечислены шесть критических уязвимостей и ещё пара, воображающих повышенный риск. Неприятности наблюдаются в самых различных компонентах, а также сетевых, беспроводных, графических драйверах, сенсорах отпечатков пальцев, загрузчике и без того потом.
Подробная информация о залатанных уязвимостях дешева на сайте Android.
Работа над неточностями
Небезупречным был и личный форк OpenSSL (Гугл BoringSSL). Брешь разрешает преступнику приводить к нарушению целостности данных в памяти — для чего ему потребуется создать особый файл. В теории это будет означать возможность удалённого запуска произвольного кода с повышенными привилегиями.
«Обилие исправлений — это скорее свидетельство тому, что Гугл исправно делает работу над неточностями, — говорит Дмитрий Гвоздев, председатель совета директоров компании «Монитор безопасности». — Каждая современная ОС — это огромные массивы кода программы, в каковые неизбежно закрадываются неточности. А популярность совокупности обуславливает деятельный и целенаправленный поиск уязвимостей в ней со стороны специалистов по безопасности и хакеров. Чем стремительнее такие уязвимости закрываются, тем меньше возможность их вредоносной эксплуатации».
Увлекательные записи:
- В apple вернулся создатель планшета newton
- В blackberry — новые назначения в совете директоров
- Вендоры: «гуглофоны» подождут