Компания Google пропатчила 57 уязвимостей в ОС Android, ядре системы и компонентах, связанных с чипсетами MediaTek, NVIDIA и Qualcomm. Одиннадцать багов считаются критическими, а остальные 46 — высокой степени риска.

Представители разработчика пояснили, что самыми опасными являются бреши CVE-2018-9341, CVE-2018-5146 и CVE-2017-13230, позволяющие удаленное выполнение кода в медиаплатформе Android.

CVE-2018-5146 имеет отношение к аудиокодеку Ogg Vorbis с открытым исходным кодом. Уязвимость связана с записью в память с выходом за границы выделенной области во время обработки аудиоданных Vorbis через медиаплатформу. О баге стало известно 16 марта во время соревнования хакеров Pwn2Own благодаря Хузайфе Сидпурвале (Huzaifa Sidhpurwala), старшему инженеру по безопасности продуктов в Red Hat. По данным издания Rapid7, брешь также закралась в некоторые версии браузера Mozilla Firefox и почтового клиента Thunderbird.

Вторая уязвимость удаленного выполнения кода (CVE-2017-13230) представляет собой аналогичную проблему в видеокодеке High Efficiency Video Coding (H.265), входящем в медиаплатформу Android. Впервые о существовании бага стало известно 2 февраля, и уже 5 февраля инженеры Google закрыли его в рамках февральского бюллетеня безопасности Android для версий 7.0 и выше. Теперь патчи получат владельцы устройств с Android 6.0.

“Запись вне допустимого диапазона происходит из-за неправильной проверки границ в значении i2_pic_width_in_luma_samples в кодеке HEVC. Этот баг может привести к эскалации привилегий удаленного пользователя, дающей ему право на выполнение кода”, — гласит описание CVE в Национальной базе данных уязвимостей США.

Организации Google и MITRE не сообщили никаких подробностей о третьей уязвимости (CVE-2018-9341).

Разработчик также закрыл критическую брешь в чипсете MediaTek. Баг приводил к ряду сценариев переполнения буфера в трастлете Android (доверенный процесс или процесс IUM). “По причине отсутствия проверки границ в буфере трастлета возможно повреждение памяти”, — пишут специалисты Samsung в своем бюллетене.

Четыре критические заплатки получили чипсеты Qualcomm. Две бреши (CVE-2017-18158 и CVE-2018-5854) закрались в загрузчик, одна (CVE-2018-3569) связана с хостом WLAN, а последняя вызвана недоработкой в “аппаратном кодеке” (CVE-2017-18155).

Представители Google пообещали, что устройства серий Pixel и Nexus уже с понедельника начнут получать патчи “по воздуху”. Чтобы охватить всю линейку Nexus, потребуется около полутора недель. Samsung, LG и другие производители обычно вслед за Google обновляют уязвимые гаджеты, но в рамках ежемесячных выпусков. При этом зачастую производители не сразу включают в такие выпуски все необходимые исправления. Например, в случае с компанией Samsung “некоторые патчи, ожидаемые от поставщиков чипсетов (под конкретные модели), могут не войти в пакет обновлений безопасности в этом месяце. Как только они будут готовы, мы включим их в ближайшее плановое обновление”. Чтобы убедиться в совместимости патчей, обычно сначала их проверяют на целевых устройствах.

Категории: Главное, Уязвимости