Январский отчет по безопасности Android был опубликован Google, в котором содержатся сведения о семи уязвимостях в операционной системе Android. Одна из них, затрагивающая версии 8, 8.1 и 9 операционной системы Android, получила критическую оценку. Поэтому важно найти и установить январское обновление для системы безопасности, как только оно станет доступно.
Критическим недостатком среды Android Media, получившей название CVE-2020-0002, является недостаток удаленного выполнения кода “RCE”. Это может позволить удаленному злоумышленнику, использующему специально созданный файл, выполнить произвольный код в контексте привилегированного процесса.
Так что всё это значит? Google не публикует полную информацию о проблемах безопасности Android до тех пор, пока не будут исправлены ошибки, чтобы не помогать злоумышленникам легко использовать уязвимости.
Исследователь безопасности Шон Райт говорит:
“На первый взгляд, это кажется серьезной проблемой. Проблема позволяет злоумышленнику запускать команды на вашем устройстве как привилегированный пользователь. Вредоносное приложение, установленное на вашем устройстве, может воспользоваться критической уязвимостью, но неясно, может ли оно использоваться удаленно. Если это возможно, то это очень плохие новости”.
Прочие проблемы с Google Android.
В прошлом месяце Google исправил критическую проблему Android 8, 9 и 10, которая привела к постоянной угрозе отказа в обслуживании. Также в декабре исследователи безопасности раскрыли подробности об опасной уязвимости Android, которую они называют “StrandHogg”.
В октябре пользователи Google Android узнали, что они подверглись риску, после того как появилось клавиатурное приложение под названием ai.type, которое совершало миллионы несанкционированных покупок цифрового контента премиум-класса.
Между тем, Qualcomm, чипы которого включены в устройства Android, также исправил 29 уязвимостей, описанных в бюллетене по безопасности Google Android. Самый серьезный из них был связан с его драйвером rtlwifi. В отчете Google по безопасности Android говорится:
“Самая серьезная уязвимость может позволить злоумышленнику, выполнить произвольный код в контексте привилегированного процесса”.
Источник: https://leisurecentre.ru/google-podtverzhdaet-nalichie-ugrozy-bezopasnosti-dlya-polzovatelej-android-8-i-9/