Выбирай : Покупай : Используй
0

Миллионы устройств на Android можно взломать обычной картинкой

Google внес ряд исправлений в операционную систему, исправив более 40 уязвимостей, четверть из которых была критической. Как минимум одна из них позволяет запускать произвольный код на устройстве жертвы, просто заставив ее открыть специально подготовленный графический PNG-файл.

Без подробностей

Критическая уязвимость в операционной системе Android позволяет злоумышленникам использовать специально подготовленные графические файлы в распространенном формате PNG для взлома мобильных устройств. Исправление этих багов может быть довольно проблематичным.

Google опубликовал бюллетень безопасности Android, в котором отдельно обозначил три критические уязвимости в компоненте Framework: CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988. Все три позволяют запускать произвольный код на конечном устройстве удаленно. Самая серьезная из них (неизвестно, правда, какая именно) позволяет взламывать устройство с помощью специально подготовленного PNG-файла, причем в контексте процесса с высокими привилегиями.

Все эти уязвимости затрагивают миллионы устройств, работающих под управлением версий Android 7.0-9.0. В базе данных CVE никакого содержательного описания этих уязвимостей нет, под перечисленными индексами стоят пустые зарезервированные страницы. Бюллетень безопасности Google также скуп на подробности.

Исходные коды для патчей опубликованы в репозитории Android Open Source Project. У Google пока нет данных о попытках эксплуатировать эти уязвимости злоумышленниками.

42 уязвимости, 11 — критические

Помимо трех перечисленных критических багов в Framework, последнее обновление Android исправляет еще восемь критических уязвимостей. Всего же исправлено 42 уязвимости, и кроме 11 критических и одной, чья опасность оценивается как средняя, все считаются опасными.

Устройства на Android можно взламывать с помощь PNG-файла

Исходные коды для патчей опубликованы в репозитории AndroidOpenSourceProject. У Google пока нет данных о попытках эксплуатировать эти уязвимости злоумышленниками.

Комментарий эксперта

«Отсутствие детальной информации может быть связано с тем, что эксплуатировать данные уязвимости слишком легко, притом что последствия могут быть предельно серьезными, — полагает Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — Проблема еще в том, что, хотя Google и выпустил необходимые обновления, распространить их на конечные устройства должны их непосредственные производители, а это может занять какое-то время. Все это время устройства будут оставаться уязвимыми, и, соответственно, раскрытие подробностей даст хакерам карт-бланш».

Комментарии