Ноябрьский набор патчей для Android устраняет около 40 уязвимостей, в том числе 7 критических. Перечисленные в бюллетене проблемы, как всегда, разделены на две группы (уровень патчинга на 1 и 5 ноября), чтобы партнеры смогли быстрее залатать бреши, актуальные для всех Android-устройств.

Четыре критические уязвимости крылись в компоненте Media framework. Две из них позволяют удаленно выполнить любой код с помощью вредоносного мультимедийного файла — его можно внедрить на сайт или прислать жертве сообщением. Еще две критические бреши (CVE-2018-9536 и CVE-2018-9537) в Media framework грозят повышением привилегий.

Остальные критические баги присутствовали в компонентах с закрытым исходным кодом производства Qualcomm. Тип таких брешей Google обычно не указывает, а подробности публикует сам вендор. Совокупно в разных компонентах от Qualcomm устранено 17 уязвимостей; три из них оценены как критические, остальные — как высокой степени опасности.

Компонент System получил патчи для шести уязвимостей, позволяющих удаленно просматривать данные, которые обычно доступны лишь локально установленным приложениям, да и то с особого разрешения. Всем этим брешам присвоена высокая степень опасности.

Особого упоминания заслуживают 18 различных багов, выявленных в библиотеке Libxaac, которую Google в качестве эксперимента использовала для сжатия и декодирования медиаконтента. По всей видимости, нововведение оказалось провальным: в бюллетене сказано, что Libxaac больше не будет включаться в сборки Android, предназначенные для промышленной эксплуатации.

Патчи для Pixel и Nexus уже начали раздаваться OTA. Компании Samsung и LG тоже выпустили обновления, дополнив набор Google заплатками для брешей, свойственных только их продуктам.

Категории: Главное, Уязвимости