Компания Google выпустила очередной бюллетень по безопасности Android с перечнем устраненных уязвимостей. Девять из 28 брешей разработчик оценил как критические, остальные — как высокой степени опасности.

Две критические уязвимости, позволяющие удаленно выполнить произвольный код, были обнаружены в компоненте Media Framework, еще четыре RCE-бага и один EoP (повышение привилегий) — в самой системе.

Критические RCE-уязвимости были выявлены и в компонентах сторонней разработки — WiFi-драйвере bcmdhd от Broadcom (CVE-2017-13292) и WiFi-модуле от Qualcomm (CVE-2017-15822). Согласно бюллетеню, обе эти бреши позволяют находящемуся поблизости злоумышленнику использовать «специально созданный файл для выполнения произвольного кода в контексте привилегированного процесса».

В апрельский бюллетень также включен внушительный список новых уязвимостей в компонентах с закрытым исходным кодом, производимых Qualcomm. Шесть из них вендор оценил как критические; информацию об этих уязвимостях компания Qualcomm публикует сама.

Для устройств Pixel и Nexus выпущен отдельный бюллетень, адресованный пользователям смартфонов Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Nexus 5X, Nexus 6P и планшета Pixel C. На эти мобильные устройства апрельские патчи, по словам Google, будут раздаваться как OTA-обновления прошивки, о других Android-гаджетах должны позаботиться OEM-провайдеры и операторы сотовой связи.

Компания Samsung Mobile, например, уже объявила о корректирующем выпуске для «основных флагманских моделей». Кроме патчей от Google, в него включены восемь дополнительных заплаток, которые будут распространяться как OTA-обновления.

Категории: Главное, Уязвимости