Софтодром   

Октябрьские патчи закрыли пять опасных брешей в Android



Новости    Безопасность




Google раскрыла сведения о пяти критических уязвимостях в рамках октябрьского бюллетеня по безопасности Android. В общей сложности вышли 14 патчей к разным уязвимостям, среди которых оказались как опасные бреши, так и критические, пишет Threatpost.

Относительно низкое количество найденных в октябре багов связано с изменением порядка выпуска бюллетеней безопасности. Теперь Google будет выпускать отдельный ежемесячный бюллетень безопасности Pixel/Nexus, посвященный брешам именно на этих устройствах.

В бюллетене безопасности Android по-прежнему будет ежемесячно сообщаться о частичных и полных патчах. В целом в результате перемен Google опубликовала всего чуть больше десяти уязвимостей на октябрь.

Три критические уязвимости относятся к багам удаленного выполнения кода в медиаплатформе Android. Две другие критические уязвимости связаны с железом Qualcomm.

Бюллетень безопасности Android также устраняет недоработки в коде Dnsmasq, влияющие на ОС Android, Mac OS X, различные дистрибутивы Linux, а также роутеры и устройства IoT.

Специалисты Google пишут, что одним из опаснейших багов за этот месяц стала возможность эскалации привилегий или EoP (CVE-2017-0806) в мобильной ОС, начиная с версии 6.0 (Marshmallow) и заканчивая самой свежей версией Android 8.0 (Oreo). По словам экспертов компании, эта уязвимость «давала возможность локальным вредоносным приложениям обходить необходимость подтверждения пользователя при получении дополнительных привилегий», что может послужить первым этапом атаки.

Среди прочих серьезных багов — две бреши в компонентах ядра Android, позволявшие локальным вредоносам выполнять произвольный код в рамках привилегированного процесса.

Две другие EoP-уязвимости обозначены как CVE-2017-7374 и затрагивают файловую систему Android. По словам специалистов ИБ-компании F5 Networks, этот баг открывает брешь типа use-after-free в криптографической файловой системе (fs/crypto/) ядра Linux. Она дает локальному пользователю возможность спровоцировать ошибку типа «отказ в обслуживании» или даже получить расширенные привилегии, отозвав набор ключей файловых систем ext4, f2fs или шифрования ubifs. Это может привести «к преждевременному освобождению объектов шифрования», отметили специалисты F5 Networks.

Вторая опасная брешь также относится к типу EoP (CVE-2017-9075) и связана с ядром Android и подсистемой сетевой связи. «Локальный пользователь, не обладающий расширенными привилегиями, может через эту брешь повредить память ядра системы и вызвать сбой. Учитывая характер уязвимости, нельзя полностью исключать возможность эскалации привилегий, но все же это маловероятно», — пишут эксперты по безопасности из Brocade.

Октябрьский бюллетень также принес целый ряд исправлений в аппаратной части, в том числе патчи для драйверов устройств MediaTek и Qualcomm.

Две уязвимости в железе Qualcomm признаны критическими. Исправление для бреши CVE-2017-11053 устраняет ошибку с удаленным выполнением кода в драйвере чипсета. Вторая уязвимость в железе Qualcomm (CVE-2017-9714) связана с эскалацией привилегий, вызванной ошибкой в подсистеме сетевой связи. Последний патч закрывает серьезную уязвимость в драйвере чипсета MediaTek (CVE-2017-0827).

В бюллетень безопасности Pixel/Nexus компания Google включила 38 исправлений. Уязвимости нашлись в Android и аппаратных компонентах производства Broadcom, HTC, Huawei, Motorola и Qualcomm.

«Патчи к уязвимостям, включенным в бюллетень, являются наиболее актуальным обновлением безопасности для устройств Android. Устанавливать обновления безопасности, указанные партнерами, для поддержания актуального уровня защиты Android не обязательно», — написали специалисты Google в новом бюллетене.




Автор: Softodrom.ru
Дата:

28.04.2025 16:46

Для дропперов введут уголовную ответственность

Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов


26.04.2025 18:35

Номер главы Пентагона оказался в открытом доступе в интернете

Секреты национальной безопасности потенциально могли оказаться в руках иностранных противников, пишут американские СМИ


25.04.2025 15:14

Шойгу: Россия приняла меры для защиты российского сегмента Интернета

В условиях геополитического противостояния страны Запада продолжают наращивать давление на Россию в информационной сфере


23.04.2025 14:11

Роскомнадзор предложил бизнесу сознаться в утечках персональных данных

С 30 мая в России вступают в силу новые нормы законодательства, по которым ответственность компаний за утечки персональных данных будет ужесточена


18.04.2025 15:42

«Сбер» инициировал блокировку 19 тыс. фишинговых ресурсов под своим брендом

Помимо этого, было выявлено 33 фальшивых мобильных приложения, которые маскировались под сервисы «Сбера»


Популярное: Безопасность
29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


15.01.2023 09:34

15 бесплатных антивирусов для компьютера на Windows

Софтодром составил подборку из 15 бесплатных антивирусных программ для компьютера на Windows


07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


29.11.2017 23:52

Как защитить файл или папку паролем в Windows

Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится


20.06.2008 22:23

Самые популярные антивирусы в России по версии Comcon

Компания Comcon провела исследование распространения антивирусных решений среди российских пользователей


Все рубрики статей (1876 / 228):


Программы | Сайты для детей | Рейтинги | Статистика | Авторам | Рассылки
Copyright © 1999-2025 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта