Компания Google выпустила обновления безопасности для Android, закрывающие 59 уязвимостей разного уровня угрозы. Бюллетень вышел в двух частях: 1 сентября разработчики описали 24 проблемы в файлах ядра платформы, а 5-го рассказали о 35 ошибках, обнаруженных в драйверах и компонентах устройств. На Nexus и Pixel — собственные девайсы компании — пакет с обновлениями установится «по воздуху» (over-the-air).

Пять уязвимостей из первого набора патчей оцениваются как критические. Три из них (CVE-2018-9475, CVE-2018-9478 и CVE-2018-9479) в теории могут предоставить злоумышленникам доступ к дополнительным разрешениям.

Еще две ошибки (CVE-2018-9411 и CVE-2018-9427) касаются Android Media Framework. С их помощью атакующий может использовать специально созданный файл и удаленно выполнить произвольный код.

Остальные баги высокой и умеренной степени угрозы затрагивали среду выполнения Android Runtime, системный фреймворк, библиотеку и систему. Их эксплуатация могла привести к повышению привилегий, раскрытию информации или отказу в обслуживании.

Большинство ошибок затрагивает сразу несколько версий Android — 7.0, 7.1.1, 7.1.2, 8.0, 8.1 и 9.0, однако некоторые опасны только для более поздних вариантов платформы, начиная с 8.0.

В сборнике патчей от 5 сентября критическими названы шесть уязвимостей. Все они найдены в компонентах Qualcomm с закрытым исходным кодом. Менее серьезные ошибки обнаружены в системном фреймворке, частях ядра и компонентах Qualcomm.

Обновления исправляют и некоторые функциональные недостатки в устройствах Google. Прошивка увеличивает емкость аккумулятора в Pixel 2 и Pixel 2 XL, а также улучшает качество звука в автомагнитолах, работающих по Bluetooth с смартфонами Pixel.

Пользователям Essential Phone придется скачать обновления с официального сайта, так как загрузка «по воздуху» для этих устройств на данный момент недоступна.

Категории: Кибероборона