Компания Google пропатчила в Android критическую уязвимость, позволявшую исполнить любой код на мобильном устройстве, послав на него вредоносный файл изображений в формате .PNG (Portable Network Graphics).

Согласно бюллетеню Google, эта брешь, как и два других RCE-бага, привязана к системному компоненту Framework. Ей подвержены ОС Android версий с 7.0 (Nougat) по 9.0 (Pie).

«Наиболее серьезной из перечисленных проблем является критическая брешь в (Android) Framework, позволяющая удаленно, с использованием специально созданного PNG-файла выполнить произвольный код в контексте привилегированного процесса», — сказано в бюллетене. Вредоносное изображение не обязательно посылать файлом, его можно поместить на сайт и отправить пользователю сообщение со ссылкой.

«Степень опасности уязвимости (.PNG) определялась по воздействию, которое эксплойт может оказать на устройство в том случае, когда средства защиты платформы и служб отключены в ходе разработки или с успехом нейтрализованы», — поясняет Google. По данным компании, ни одна из перечисленных в бюллетене брешей пока не используется в атаках.

Суммарно разработчики пропатчили 42 уязвимости; степень опасности 11 из них оценена как критическая, 30 — как высокая. В компонентах производства NVIDIA закрыто четыре бреши, в компонентах Qualcomm с открытым исходным кодом — пять.

«Партнеров известили обо всех проблемах Android как минимум за месяц до публикации, — пишет Google. — В репозитории Android Open Source Project (AOSP) исходные коды патчей появятся в ближайшие 48 часов». Детали уязвимостей, перечисленных в февральском бюллетене, будут оглашены позднее.

Компания LG выпустила свой бюллетень одновременно с Google, в понедельник. В ее Android-устройствах закрыто 6 критических уязвимостей, 21 высокой степени опасности и 1 умеренно опасная. Одну из критических брешей (CVE-2018-11847) разработчик устранил с опозданием на месяц; она крылась в одном из компонентов Qualcomm с закрытым исходным кодом. Дополнительно в устройствах LG закрыто две свойственные только им уязвимости — высокой и средней степени опасности.

Информацией о некоторых брешах в своих чипах поделилась Qualcomm Technologies. К примеру, критическую уязвимость CVE-2018-11289 в компоненте Android с закрытым исходным кодом она классифицирует как переполнение буфера, которое может возникнуть при преобразовании типов данных.

Категории: Главное, Уязвимости