Компания Google выпустила два комплекта обновлений для операционной системы Android. Наборы патчей, появившиеся 1 и 5 ноября 2019 года, содержат 38 заплаток, устраняющих баги в базовом фреймворке, ядре, библиотеках и других частях ОС. Разработчики также включили в ноябрьский апдейт исправления кода для компонентов Qualcomm, предоставленные производителем чипов.

Критические RCE-уязвимости в Android

Как следует из бюллетеня вендора, наибольшую угрозу безопасности представляют три критические ошибки в системных компонентах. В целях безопасности Google не раскрывает технических деталей уязвимостей, однако отмечает, что все они связаны с возможностью удаленного выполнения стороннего кода.

Как пояснили разработчики, как минимум в одном случае, чтобы запустить свой скрипт в контексте привилегированного процесса, злоумышленник должен отправить на устройство специально подготовленный файл. Последствия эксплуатации уязвимости могут оказаться катастрофическими, если автор атаки сумеет обойти или отключить механизмы безопасности ОС.

Заплатки для PoE-багов и патчи Quallcom

Апдейт содержит патчи для 13 недостатков, которые могут привести к эскалации привилегий на устройстве. В основном фреймворке Android исправлены четыре ошибки этого типа, системные компоненты и ядро получили по три заплатки, медиаплатформа — две. Еще восемь уязвимостей связаны с возможностью раскрытия важных данных. Одна из них имеет средний уровень угрозы, остальные оценены специалистами как опасные.

Как сообщает Google, три патча Qualcomm касаются драйвера графической подсистемы и программного обеспечения для работы с Wi-Fi. Еще 11 заплаток устраняют баги в компонентах с закрытым исходным кодом. Пять уязвимостей, закрытых производителем чипов, оценены как критические, остальные баги имеют высокий уровень угрозы.

Предыдущий комплект патчей для Android вышел в начале октября. Помимо заплаток для трех десятков опасных ошибок, апдейт содержал исправление критической 0-day уязвимости в компоненте Binder. Проблема с идентификатором CVE-2019-2215 допускала эскалацию привилегий и получение прав уровня root на целевом устройстве. Эксплуатация бага не предполагала взаимодействия с пользователем, но требовала установки вредоносного приложения.

Категории: Главное, Уязвимости