Компания Google опубликовала очередной бюллетень с перечнем уязвимостей, устраненных в мобильной ОС. Полтора десятка из них актуальны для всех Android-устройств вне зависимости от производителя.

Самая серьезная проблема, по оценке разработчиков, связана с ошибкой в коде компонента Framework. Она позволяет удаленно вызвать постоянный отказ в обслуживании с помощью особым образом составленного сообщения.

Две уязвимости в Media Framework открывают возможность для удаленного выполнения вредоносного кода с высокими привилегиями. Баги признаны критическими для Android версий 8.0, 8.1 и 9. Установка Android 10 в обоих случаях способна снизить уровень угрозы до умеренного.

Три критических уязвимости пропатчены также в компонентах с закрытым исходным кодом производства Qualcomm Technologies. Согласно описанию на сайте компании, все они вызваны ошибками переполнения буфера. В прошивках чипсетов Qualcomm выявлены еще 19 проблем; их степень угрозы несколько ниже, но все же высока. Примечательно, что 12 опасных багов привязаны к модулю WLAN и позволяют проводить атаки на Android-устройства через Wi-Fi.

Одновременно вышло обновление для Pixel, которое устраняет все новые уязвимости Android, а также восемь проблем безопасности, свойственных только устройствам производства Google. Два дополнительных бага присутствуют в системных компонентах Android 10, остальные — в компонентах ядра. Проблема в System, приводящая к раскрытию конфиденциальной информации, оценена как критическая, возможность повышения привилегий — как высокой степени опасности. Баги уровня ядра признаны умеренно опасными.

Со слов Google, ее партнеры были предупреждены о новых проблемах Android как минимум за месяц до выпуска декабрьского бюллетеня по безопасности. Исходные коды патчей обычно становятся доступными в репозитории проекта AOSP (Android Open Source Project) через два дня после публикации списка устраненных уязвимостей.

Категории: Уязвимости