В понедельник 2 октября Google раскрыла сведения о пяти критических уязвимостях в рамках октябрьского бюллетеня по безопасности Android. В общей сложности вышли 14 патчей к разным уязвимостям, среди которых оказались как опасные бреши, так и критические.

Относительно низкое количество найденных в октябре багов связано с изменением порядка выпуска бюллетеней безопасности. Теперь Google будет выпускать отдельный ежемесячный бюллетень безопасности Pixel/Nexus, посвященный брешам именно на этих устройствах.

В бюллетене безопасности Android по-прежнему будет ежемесячно сообщаться о частичных и полных патчах. В целом в результате перемен Google опубликовала всего чуть больше десяти уязвимостей на октябрь.

Три критические уязвимости относятся к багам удаленного выполнения кода в медиаплатформе Android. Две другие критические уязвимости связаны с железом Qualcomm.

Бюллетень безопасности Android также устраняет недоработки в коде Dnsmasq, влияющие на ОС Android, Mac OS X, различные дистрибутивы Linux, а также роутеры и устройства IoT.

Специалисты Google пишут, что одним из опаснейших багов за этот месяц стала возможность эскалации привилегий или EoP (CVE-2017-0806) в мобильной ОС, начиная с версии 6.0 (Marshmallow) и заканчивая самой свежей версией Android 8.0 (Oreo). По словам экспертов компании, эта уязвимость «давала возможность локальным вредоносным приложениям обходить необходимость подтверждения пользователя при получении дополнительных привилегий», что может послужить первым этапом атаки.

Среди прочих серьезных багов — две бреши в компонентах ядра Android, позволявшие локальным вредоносам выполнять произвольный код в рамках привилегированного процесса.

Две другие EoP-уязвимости обозначены как CVE-2017-7374 и затрагивают файловую систему Android. По словам специалистов ИБ-компании F5 Networks, этот баг открывает брешь типа use-after-free в криптографической файловой системе (fs/crypto/) ядра Linux. Она дает локальному пользователю возможность спровоцировать ошибку типа «отказ в обслуживании» или даже получить расширенные привилегии, отозвав набор ключей файловых систем ext4, f2fs или шифрования ubifs. Это может привести «к преждевременному освобождению объектов шифрования», отметили специалисты F5 Networks.

Вторая опасная брешь также относится к типу EoP (CVE-2017-9075) и связана с ядром Android и подсистемой сетевой связи. «Локальный пользователь, не обладающий расширенными привилегиями, может через эту брешь повредить память ядра системы и вызвать сбой. Учитывая характер уязвимости, нельзя полностью исключать возможность эскалации привилегий, но все же это маловероятно», — пишут эксперты по безопасности из Brocade.

Октябрьский бюллетень также принес целый ряд исправлений в аппаратной части, в том числе патчи для драйверов устройств MediaTek и Qualcomm.

Две уязвимости в железе Qualcomm признаны критическими. Исправление для бреши CVE-2017-11053 устраняет ошибку с удаленным выполнением кода в драйвере чипсета. Вторая уязвимость в железе Qualcomm (CVE-2017-9714) связана с эскалацией привилегий, вызванной ошибкой в подсистеме сетевой связи. Последний патч закрывает серьезную уязвимость в драйвере чипсета MediaTek (CVE-2017-0827).

В бюллетень безопасности Pixel/Nexus компания Google включила 38 исправлений. Уязвимости нашлись в Android и аппаратных компонентах производства Broadcom, HTC, Huawei, Motorola и Qualcomm.

«Патчи к уязвимостям, включенным в бюллетень, являются наиболее актуальным обновлением безопасности для устройств Android. Устанавливать обновления безопасности, указанные партнерами, для поддержания актуального уровня защиты Android не обязательно», — написали специалисты Google в новом бюллетене.

Категории: Главное, Уязвимости