Google пропатчила 29 критических уязвимостей в разных компонентах Android. Наиболее серьезной из брешей, согласно январскому бюллетеню, является баг удаленного исполнения кода в компоненте Mediaserver.

«Наибольшую опасность представляет критическая уязвимость (CVE-2017-0381), позволяющая удаленно исполнить код на устройстве разными методами, такими как электронная почта, веб-серфинг и MMS в ходе обработки медиафайла», — пишет разработчик.

Google латала Mediaserver раз тридцать с момента обнаружения уязвимости Stagefright в августе 2015 года. Кроме CVE-2017-038 январский набор патчей закрывает еще несколько брешей в этом компоненте, в том числе четыре DoS-бага и повышение привилегий (CVE-2017-0387); все эти уязвимости оценены как высоко опасные.

В драйвере графического процессора NVIDIA пропатчено 10 критических уязвимостей повышения привилегий, в загрузчике от Qualcomm — две. Компоненты производства Qualcomm, как и Mediaserver, регулярно получают свою порцию патчей от Google; так, на сей раз были залатаны также критические бреши в драйвере графического процессора этого вендора, в видеодрайвере и в камере (CVE-2016-8412), которая используется не только в Nexus, но также в Android-смартфонах Snapdragon производства LG и Samsung.

Ряд уязвимостей высокой степени опасности были выявлены и устранены и в менее известных компонентах Android, таких как C-ares (CVE-2016-5180), Framesequence (CVE-2017-0382), libnl (CVE-2017-0386). «Уязвимость повышения привилегий в библиотеке libnl позволяет локальному вредоносному приложению исполнить произвольный код в контексте привилегированного процесса, — сказано в бюллетене. — Эта проблема оценена как высоко опасная, так как ее можно использовать для получения локального доступа к возможностям, обычно недоступным сторонним приложениям».

Новые плановые патчи для Android, совокупно около сотни, разделены на два набора: неполный (уровня 1 января) и полный (по состоянию на 5 января). OTA-апдейт поддерживаемых устройств Google был произведен 5 января. Разработчик поблагодарил около 40 исследователей и ИБ-команд за новые находки, не преминув отметить: «Отчетов об активной эксплуатации каких-либо из новых уязвимостей или злоупотреблениях к нам не поступало».

Новые патчи выпустили также Samsung и LG. «Хотя мы стараемся раздавать патчи на все затронутые устройства как можно скорее, время доставки может разниться для различных регионов и моделей», — пишет Samsung. Обновление от этого вендора закрывает 28 уязвимостей в его Android-устройствах. LG уведомила пользователей о наличии восьми целевых патчей для G3, G4, G4 Stylus, G5, V10, V20, CK и G Stylo.

Категории: Главное, Уязвимости