USD 91.98 ЕВРО 100.24

Последний бюллетень Google предупреждает о 47-ми уязвимостях в Android, 10-ть из которых являются критическими

Экономика

Бюллетень Google по безопасности для Android за декабрь включает ряд уязвимостей, которые вендоры должны будут исправить.

Google опубликовала свой бюллетень по безопасности для Android за декабрь, предупредив о 47-ми уязвимостях в операционной системе.
Десять из уязвимостей оцениваются как «критические», в то время как остальные 37 имеют «высокий» приоритет.
Google заявила, что разделила уязвимости на два уровня в своем предупреждении, чтобы разработчики смартфонов на Android могли быстрее исправлять подмножество похожих уязвимостей, если захотят.
Компания предупредила: «Партнерам Android рекомендуется исправить все проблемы, перечисленные в этом бюллетене, и использовать последний уровень патчей безопасности».

Она рекомендовала объединить исправления всех проблем в одном обновлении.

Google пишет, что среди наиболее серьезных — критическая уязвимость безопасности в медиа-фреймворке, которая может позволить удаленному злоумышленнику использовать специально созданный файл для выполнения произвольного кода в контексте привилегированного процесса.
Первая группа из 19-ти уязвимостей, 2017-12-01, также включает в себя уязвимость в разделе фреймворка, которая может позволить локальному вредоносному приложению обойти требования взаимодействия с пользователем для получения доступа к дополнительным разрешениям. Худший из багов может позволить злоумышленнику выполнить произвольный код в контексте привилегированного процесса.
Вторая группа из 27-ми уязвимостей 2017-12-05 включает уязвимость компонентов ядра, которая позволяет локальным вредоносным приложениям выполнять произвольный код.
Также присутствуют уязвимости в компонентах MediaTek и Nvidia, позволяющие локальному вредоносному приложению выполнять произвольный код в контексте привилегированного процесса. В бюллетене также перечислены девять уязвимостей в компонентах Qualcomm и девять уязвимостей в компонентах Qualcomm с закрытым кодом.
Эти уязвимости не станут неожиданностью для разработчиков смартфонов на Android. Партнеры Google были уведомлены обо всех проблемах, по крайней мере, за месяц до публикации.

Исправления исходного кода для этих проблем будут размещены в репозитории Project Open Source Project в течение следующих 48 часов.

Google заявила, что эксплуатировать уязвимости сложнее в новых версиях платформы Android: «Мы рекомендуем всем пользователям обновить устройства до последней версии Android».
Однако, не все производители Android считают, что обновление старых устройств до новейшей версии Android является приоритетным, в результате чего многие смартфоны работают на старых, менее безопасных версиях.