امروز: شنبه، 31 شهریور 1397

گوگل در ماه جاری چند آسیب‌پذیری بحرانی اجرای کد از راه دور (RCE) را در سامانه‌عامل اندروید رفع کرد.

بولتن امنیتی اندورید برای ماه فوریه‌ي سال ۲۰۱۸ میلادی تنها ۲۶ آسیب‌پذیری را در سامانه‌عامل تلفن‌همراه رفع می‌کند، که بیشتر آن‌ها با شدت بالا ارزیابی شده‌اند. اکثر این مسائل امنیتی، اشکال‌های افزایش امتیاز (EoP) هستند.


 


 

در مجموع ۷ اشکال با وصله‌ی امنیتی ۲۰۱۸-۰۲-۰۱ رفع شد، که شامل ۶ آسیب‌پذیری در Media Framework و ۱ آسیب‌پذیری در مؤلفه‌ی سامانه هستند.

در ماه جاری، گوگل ۲ اشکال بحرانی اجرای کد از راه دور را در Media Framework رفع کرد که یکی از آن‌ها آسیب‌پذیری CVE-۲۰۱۷-۱۳۲۲۸ است که اندورید ۶٫۰  و نسخه‌ی جدیدتر را تحت تاثیر قرار می‌دهد، و دیگری آسیب پذیری CVE-۲۰۱۷-۱۳۲۳۰ است که اندروید ۵٫۱٫۱ و نسخه‌های جدیدتر را تحت تاثیر قرار می‌دهد (که به عنوان یک آسیب‌پذیری منع سرویس خطرناک در اندروید ۷٫۰ و نسخه‌ی جدیدتر در نظر گرفته می‌شود).

سایر اشکال‌هایی که در Media Framework رفع شدند شامل یک آسیب‌پذیری افشاء اطلاعات، یک اشکال افزایش امتیاز، و چند آسیب‌پذیری منع سرویس هستند.

با بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری‌هایی با شدت بالا، یک مهاجم می‌تواند از راه دور کد دلخواه را در متن فرآیند ممتاز اجرا کند. این مسأله می‌تواند از طریق رایانامه، مرور وب و MMS هنگام پردازش پرونده‌های رسانه‌ای مورد سوء‌استفاده قرار گیرد.

گوگل در مشاوره‌ای گفت، این آسیب‌پذیری (CVE-۲۰۱۷-۱۳۲۳۶) که در سامانه رفع شد یک اشکال EoP بود که به یک برنامه‌ی مخرب محلی اجازه می‌داد تا دستوراتی را اجرا کند که به طور معمول برای فرآیندهای ممتاز محدود شده است.

وصله‌ی امنیتی ۲۰۱۸-۰۲-۰۵، ۱۹ آسیب‌پذیری را در اچ‌تی‌سی، کرنل، NVIDIA، کوالکام، و مؤلفه‌های متن بسته‌ی کوالکام رفع می‌کند. شدیدترین این آسیب‌پذیری‌ها، ۲ آسیب‌پذیری اجرای کد از راه دور در مؤلفه‌های کوالکام هستند (CVE-۲۰۱۷-۱۵۸۱۷ و CVE-۲۰۱۷-۱۷۷۶۰).

 

به جز افشاء اطلاعات در مؤلفه‌های اچ‌تی‌سی و یک اشکال در مؤلفه‌های متن بسته‌ی کوالکام، مابقی مسائل، آسیب‌پذیری‌های افزایش امتیاز بودند که مؤلفه‌هایی مانند Media Framework، WLan، Graphics، هسته و راه‌انداز را تحت تاثیر قرار می‌دادند.

گوگل همچنین یک مجموعه‌ی دیگری از وصله‌ها را منتشر کرد تا ۲۹ آسیب‌پذیری را به عنوان بخشی از بولتن امنیتی Pixel/Nexus برای ماه فوریه‌ی سال ۲۰۱۸ میلادی رفع کند.

در حالی که بیشتر این اشکال‌ها با شدت متوسط ارزیابی شده بودند، یک اشکال بحرانی اجرای کد از راه دور و یک مسأله‌ی خطرناک منع سرویس نیز بین آن‌ها بود.

علاوه بر این وصله‌های امنیتی، گوگل مجموعه‌ای از بهبودهای عملکردی را در به‌روزرسانی‌های دستگاه‌های Pixel ارائه داده است.


منبع: news.asis.io