В этом месяце Google устранила в ОС Android лишь 26 уязвимостей, в том числе четыре критических бага удаленного исполнения кода. Подавляющее большинство закрываемых брешей оценены как высоко опасные. Сведений об использовании какой-либо уязвимости в атаках на настоящий момент нет.

Новый информационный бюллетень Google, как всегда, разделен на две части: уязвимости, которым подвержены все Android-устройства (уровень патчинга по состоянию на 1 февраля), и не столь широко распространенные бреши (на 5 февраля). Партнеры Google были уведомлены обо всех этих проблемах как минимум за месяц до публикации. Исходные коды патчей уже загружены в репозиторий проекта AOSP.

Самая серьезная уязвимость (CVE-2017-13228) крылась в компоненте Media Framework; согласно бюллетеню Google, она допускает удаленный эксплойт посредством специально созданного файла и может повлечь исполнение произвольного кода в контексте привилегированного процесса. Эта брешь присутствовала в Android 6.0 и выше.

Аналогичная CVE-2017-13230 в том же медиапроигрывателе признана критичной для Android 5.1.1, 6.0 и 6.0.1 и опасной для Android 7.0 и выше (на этих ОС она грозит не исполнением вредоносного кода, а отказом в обслуживании). Остальным четырем уязвимостям в Media Framework присвоена высокая степень опасности.

Еще две критические RCE-уязвимости (CVE-2017-15817 и CVE-2017-15860) были обнаружены в компоненте WLan производства Qualcomm. В этом же модуле крылось пять EoP-багов (повышения привилегий) высокой степени опасности.

В медиа-фреймворке от Qualcomm закрыты две опасные EoP-бреши, в таком же компоненте от NVIDIA — еще две.

Самый опасный из EoP-багов, обнаруженных в компонентах ядра Android, позволяет, согласно Google, выполнить произвольный код в контексте привилегированного процесса с помощью вредоносного приложения.

Мобильные устройства Pixel  и Nexus актуализированы в соответствии с уровнем от 5 февраля. Соответствующий бюллетень Google совокупно содержит 29 позиций в дополнение к общему списку. Большинству этих уязвимостей присвоен статус «умеренно опасная». Более опасными признаны DoS-баг CVE-2017-13235 в Media Framework на Android 5.1.1, 6.0 и 6.0.1 и RCE-баг CVE-2017-13229 в этом же компоненте и при тех же сборках. В последнем случае степень угрозы обозначена как «критическая».

Категории: Главное, Уязвимости