Компания Google закрыла 81 уязвимость, в том числе 13 критически важных, позволяющих выполнять код удаленно. Информация об этом была размещена в сентябрьском выпуске Android Security Bulletin, опубликованном 1 сентября.

Наиболее опасные уязвимости, как обычно, касаются Media Framework — в облегченном медиапроигрывателе Android. Фреймворк охватывает процессы MediaServer, AudioServer, CameraServer и ExtractorService.

Используя удаленно специально написанный файл, злоумышленник с помощью этой уязвимости мог выполнить произвольный код в контексте привилегированного процесса.

В этом месяце в обновлении Media Framework были исправлены десять критически важных ошибок, позволяющих выполнять код удаленно, наряду с четырьмя ошибками, позволяющими повышать привилегии, и восемью, связанными с отказом в обслуживании.

Также Google исправила три критические уязвимости, позволявшие выполнять код удаленно, в ее компоненте Broadcom Wi-Fi-драйвера, компонентах ядра и процессора Qualcomm.

Хотя уязвимость в Broadcom, исправленная в этом месяце, была не столь критична, как июльская (BroadPwn vulnerability), она позволяла находящемуся неподалеку злоумышленнику выполнять произвольный код в контексте привилегированного пользователя. Ошибка Broadpwn позволяла находящемуся неподалеку злоумышленнику удаленно выполнять произвольный код в контексте ядра без участия пользователя и поражать устройства iPhones, HTC, LG и Nexus.

Как и уязвимость в Media Framework, бреши в ядре и процессоре Qualcomm позволяли злоумышленнику с помощью специально созданного файла удаленно выполнять произвольный код в контексте привилегированного процесса. Уязвимость Qualcomm находится в общей библиотеке объектов LibOmxVenc.

Другие ошибки, исправленные в обновлении, позволяли вредоносному приложению обходить обязательность взаимодействия для получения дополнительных разрешений и вызывали зависание или прекращение работы приложения или выполнение произвольного кода в контексте непривилегированного процесса.

Google сообщает, что никакой информации об использовании уязвимостей, исправленных в этом месяце, не поступало, однако рекомендует пользователям Android загрузить обновления. Эти 13 критических уязвимостей числом несколько превзошли июльский список, когда Google исправила 11 критически важных ошибок, и августовское обновление, которым были устранены 10 критически важных ошибок, позволяющих выполнять код удаленно.

Большинство уязвимостей было обнаружено исследователями китайской компании Qihoo 360, группы C0RE Team и исследовательской группы мобильной безопасности компании Alibaba. Свой вклад в обнаружение исправленных в этом месяце уязвимостей внесли также специалисты Tencent Xuanwu Lab, Palo Alto Networks и Trend Micro.

Хотя обновление безопасности сентябрьского выпуска Android Security Bulletin выпущено сразу для нескольких версий Android, версия Android 8.0 Oreo попала в этот список впервые. Самая ранняя версия ОС, получившая обновление в этом месяце, — Android 4.4 KitKat, выпущенная в сентябре далекого 2013 года.

Как обычно, Google выпустила обязательное OTA-обновление для установки исправлений на свои устройства, тогда как за обновление иных устройств (помимо Pixel и Nexus) несут ответственность OEM-производители. Согласно бюллетеню, устройства Google, такие как Pixel, Pixel XL, Pixel C, Nexus Player, Nexus 5X и Nexus 6P, должны получить сентябрьские обновления безопасности при переходе на Android Oreo.

Категории: Главное, Уязвимости