Лучшие приложения.
Лучшие приложения.
Лучшие приложения.
Лучшие приложения.

Октябрьские патчи закрыли пять опасных брешей в Android





Google раскрыла сведения о пяти критических уязвимостях в рамках октябрьского бюллетеня по безопасности Android. В общей сложности вышли 14 патчей к разным уязвимостям, среди которых оказались как опасные бреши, так и критические, пишет Threatpost.

Относительно низкое количество найденных в октябре багов связано с изменением порядка выпуска бюллетеней безопасности. Теперь Google будет выпускать отдельный ежемесячный бюллетень безопасности Pixel/Nexus, посвященный брешам именно на этих устройствах.

В бюллетене безопасности Android по-прежнему будет ежемесячно сообщаться о частичных и полных патчах. В целом в результате перемен Google опубликовала всего чуть больше десяти уязвимостей на октябрь.

Три критические уязвимости относятся к багам удаленного выполнения кода в медиаплатформе Android. Две другие критические уязвимости связаны с железом Qualcomm.

Бюллетень безопасности Android также устраняет недоработки в коде Dnsmasq, влияющие на ОС Android, Mac OS X, различные дистрибутивы Linux, а также роутеры и устройства IoT.

Специалисты Google пишут, что одним из опаснейших багов за этот месяц стала возможность эскалации привилегий или EoP (CVE-2017-0806) в мобильной ОС, начиная с версии 6.0 (Marshmallow) и заканчивая самой свежей версией Android 8.0 (Oreo). По словам экспертов компании, эта уязвимость «давала возможность локальным вредоносным приложениям обходить необходимость подтверждения пользователя при получении дополнительных привилегий», что может послужить первым этапом атаки.

Среди прочих серьезных багов — две бреши в компонентах ядра Android, позволявшие локальным вредоносам выполнять произвольный код в рамках привилегированного процесса.

Две другие EoP-уязвимости обозначены как CVE-2017-7374 и затрагивают файловую систему Android. По словам специалистов ИБ-компании F5 Networks, этот баг открывает брешь типа use-after-free в криптографической файловой системе (fs/crypto/) ядра Linux. Она дает локальному пользователю возможность спровоцировать ошибку типа «отказ в обслуживании» или даже получить расширенные привилегии, отозвав набор ключей файловых систем ext4, f2fs или шифрования ubifs. Это может привести «к преждевременному освобождению объектов шифрования», отметили специалисты F5 Networks.

Вторая опасная брешь также относится к типу EoP (CVE-2017-9075) и связана с ядром Android и подсистемой сетевой связи. «Локальный пользователь, не обладающий расширенными привилегиями, может через эту брешь повредить память ядра системы и вызвать сбой. Учитывая характер уязвимости, нельзя полностью исключать возможность эскалации привилегий, но все же это маловероятно», — пишут эксперты по безопасности из Brocade.

Октябрьский бюллетень также принес целый ряд исправлений в аппаратной части, в том числе патчи для драйверов устройств MediaTek и Qualcomm.

Две уязвимости в железе Qualcomm признаны критическими. Исправление для бреши CVE-2017-11053 устраняет ошибку с удаленным выполнением кода в драйвере чипсета. Вторая уязвимость в железе Qualcomm (CVE-2017-9714) связана с эскалацией привилегий, вызванной ошибкой в подсистеме сетевой связи. Последний патч закрывает серьезную уязвимость в драйвере чипсета MediaTek (CVE-2017-0827).

В бюллетень безопасности Pixel/Nexus компания Google включила 38 исправлений. Уязвимости нашлись в Android и аппаратных компонентах производства Broadcom, HTC, Huawei, Motorola и Qualcomm.

«Патчи к уязвимостям, включенным в бюллетень, являются наиболее актуальным обновлением безопасности для устройств Android. Устанавливать обновления безопасности, указанные партнерами, для поддержания актуального уровня защиты Android не обязательно», — написали специалисты Google в новом бюллетене.

Автор: Softodrom.ru
Дата:
Новые публикации: Безопасность
21.01.2020 05:47

Сбербанк рассказал об утечках данных карт через мессенджеры

Даже если вы сфотографируете свою карту и отправите ее кому-либо — это в принципе уже утечка

17.01.2020 23:32

«Доктор Веб» рассказал об опасностях приложений в Google Play

Специфика операционной системы Android такова, что у злоумышленников остается ряд лазеек, чтобы распространять вредоносные программы даже через официальный магазин приложений

17.01.2020 10:51

На распознавание лиц москвичей потратят еще 1,9 млрд рублей

Власти смогут распознавать не только лица пассажиров и водителей, но и их подозрительное поведение

30.12.2019 20:24

25% россиян сталкивались с фишингом при новогоднем онлайн-шоппинге

Антивирусная компания ESET изучила привычки россиян при онлайн-шопинге, а также оценила возможные риски при осуществлении новогодних покупок в Интернете

30.12.2019 18:50

С портала госуслуг утекли данные 28 тыс. пользователей

Утечка данных могла произойти из-за ошибочной настройки программного обеспечения одного из серверов портала госуслуг

Популярные статьи: Безопасность
29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить

21.01.2020 05:47

Сбербанк рассказал об утечках данных карт через мессенджеры

Даже если вы сфотографируете свою карту и отправите ее кому-либо — это в принципе уже утечка

17.01.2020 23:32

«Доктор Веб» рассказал об опасностях приложений в Google Play

Специфика операционной системы Android такова, что у злоумышленников остается ряд лазеек, чтобы распространять вредоносные программы даже через официальный магазин приложений

28.11.2017 06:35

Как найти адрес The Hidden Wiki

The Hidden Wiki — это вики-энциклопедия со ссылками на различные ресурсы Даркнета, расположенные в псевдо-домене .onion

17.01.2020 10:51

На распознавание лиц москвичей потратят еще 1,9 млрд рублей

Власти смогут распознавать не только лица пассажиров и водителей, но и их подозрительное поведение

Python
Python, 08.10.2017 13:15
"Устанавливать обновления безопасности, указанные партнерами, для поддержания актуального уровня защиты Android не обязательно" - не совсем понял, про какие именно обновления речь. С точки зрения здравого смысла, любая дыра в базовом обеспечении, которая способна привести к исполнению удалённого код...
» Прочитать остальные / Написать свой комментарий

Новости /
Безопасность /
Октябрьские патчи закрыли пять опасных брешей в Android
Все рубрики статей:

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».