Google устранила шесть критических багов удаленного исполнения кода в рамках октябрьского обновления системы безопасности Android. Четыре таких бреши были обнаружены в компоненте Media Framework; они актуальны для всех Android-устройств, в том числе Pixel и Nexus, а также смартфонов Samsung, Huawei и LG.

«Наиболее серьезна критическая уязвимость в Framework, позволяющая с помощью специально созданного файла удаленно выполнить произвольный код в контексте текущего пользователя», — сказано в бюллетене, опубликованном в понедельник.

Суммарно в Android закрыто 26 уязвимостей: восемь критических, 17 высокой степени опасности и одна умеренно опасная. Данных об активном эксплойте какой-либо из закрываемых брешей у Google нет.

Обновления для Pixel и Nexus уже раздаются OTA; ожидается, что другие вендоры выпустят патчи в ближайшие дни или месяцы.

Согласно бюллетеню Samsung, тоже вышедшему в понедельник, компания дополнительно закрыла четыре критические уязвимости (CVE-2016-10394, CVE-2018-11950, CVE-2018-5866 и CVE-2018-11824), которые не успела пропатчить к сентябрю. Три из них связаны с ошибками, возникающими при использовании безопасной среды выполнения (Trusted Execution Environment, TEE), которая «гарантирует защиту конфиденциальности и целостности загружаемого кода и данных», как сказано в описании на сайте AOSP. Еще несколько опасных брешей характерны лишь для устройств Android 7 и 8, использующих чипсеты Exynos.

Производитель LG совокупно устранил 14 критических уязвимостей, тоже включив в набор запоздавшие патчи (CVE-2016-10394, CVE-2017-18314, CVE-2017-18311, CVE-2018-11950, CVE-2018-5866, CVE-2018-11824). Обновление предназначено для смартфонов G5, G6, V10, V20, V30,  X300, X400, X500 и X cam.

Категории: Главное, Уязвимости