Компания Google опубликовала перечень уязвимостей, которые должны быть закрыты в Android в соответствии с уровнем безопасности на начало апреля. Как всегда, список разделен на две группы: бреши, актуальные для всех мобильных устройств под управлением этой ОС (вендоры могут их латать ковровым обновлением OTA, чтобы быстрее защитить основную часть парка), и те, что затрагивают лишь некоторые устройства.

В первую группу — уровень патчинга по состоянию на 1 апреля — разработчик включил два критических бага удаленного исполнения кода (RCE) и девять уязвимостей высокой степени опасности, грозящих повышением привилегий (EoP) либо раскрытием конфиденциальной информации (ID).

Обе RCE-бреши, согласно бюллетеню Google, привязаны к компоненту Media framework и позволяют с помощью вредоносного файла «выполнить произвольный код в контексте привилегированного процесса».

Из EoP-уязвимостей одна скрывалась в фреймворке Android (компонент Framework) остальные — в компонентах уровня System. В первом случае эксплуатация требует взаимодействия с пользователем, в прочих посредником служит вредоносное приложение, способное выполнить произвольный код. Все ID-бреши также были найдены в компонентах System.

Набор патчей, соответствующий состоянию на 5 апреля, закрывает еще 4 уязвимости в System (в том числе критический RCE-баг) и более 70 — в разных компонентах производства Qualcomm. Почти все проблемы решений Qualcomm с открытым исходным кодом связаны с функциональностью, обеспечивающей беспроводную связь; одна из этих уязвимостей возникла из-за возможности ошибки переполнения буфера и признана критической.

В компонентах Qualcomm с закрытым исходным кодом устранено шесть критических брешей. Информация о них обычно недоступна, однако разработчик на этот раз дал каждой краткую характеристику. Так, например, уязвимость CVE-2018-11976, обнаруженная сторонним исследователем, вызвана ошибкой в реализации алгоритма построения цифровой подписи, основанной на эллиптических кривых, и грозит утечкой закрытых ключей.

Данных об использовании какой-либо из уязвимостей апрельского перечня у Google нет. Информация о них, как всегда, была разослана партнерам компании как минимум за месяц до публикации, чтобы вендоры успели подготовить соответствующие обновления.

Категории: Главное, Уязвимости