Google исправила уязвимость удаленного выполнения кода в Android

Google исправила уязвимость удаленного выполнения кода в Android

Alexander Antipov

Компания устранила в общей сложности семь опасных и одну критическую уязвимость.

image

Компания Google выпустила плановые обновления безопасности для Android, исправив ряд уязвимостей в различных компонентах, включая семь опасных и одну критическую.

Критическая уязвимость (CVE-2020-0002) содержится в платформе Android Media, включающей поддержку воспроизведения различных типов мультимедийных файлов. Проблема затрагивает версии ОС Android 8.0, 8.1 и 9. Эксплуатация данной уязвимости позволяет удаленному злоумышленнику с помощью специально созданного файла выполнить произвольный код в контексте привилегированного процесса.

Также были исправлены уязвимости повышения привилегий (CVE-2020-0001 и CVE-2020-0003) и проблема, связанная с вызовом отказа в обслуживании (CVE-2020-0004) во фреймворке Android. Их эксплуатация «позволяла локальному вредоносному приложению обойти требования взаимодействия с пользователем и получить доступ к дополнительным разрешениям».

Кроме того, в Android были исправлены три опасные уязвимости (CVE-2020-0006, CVE-2020-0007, CVE-2020-0008), которые могли привести к удаленному раскрытию информации без необходимости дополнительных привилегий.

Кроме прочего, было исправлено двадцать девять уязвимостей в компонентах Qualcomm, которые используются в устройствах Android. Одна критическая уязвимость содержалась в драйвере rtlwifi Qualcomm Realtek (CVE-2019-17666) и позволяла удаленно выполнить код. Драйвер rtlwifi является программным компонентом, позволяющим некоторым модулям Realtek Wi-Fi, использующимся в Linux-устройствах, обмениваться данными с ОС Linux.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab