Google устранила две критические RCE-бреши в Android

Google устранила две критические RCE-бреши в Android

Google устранила две критические RCE-бреши в Android

Google выпустила обновления безопасности, устраняющие две критические уязвимости, которые способны привести к удаленному выполнению кода (RCE). Помимо этого, корпорация также исправила девять опасных проблем эскалации привилегий. Все патчи вышли в рамках регулярного обновления Android Open Source Project (AOSP).

Две самые опасные уязвимости из этого набора — CVE-2019-2027 и CVE-2019-2028 — присутствуют во фреймворке Media. Эти дыры позволяют злоумышленнику провести атаку при помощи специально созданных файлов.

В результате, если киберпреступник успешно использует эти бреши, он сможет добиться выполнения кода в контексте процесса с высокими привилегиями.

CVE Тип Уровень опасности Обновленные версии AOSP
CVE-2019-2027 RCE Critical 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2028 RCE Critical 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

 

Кого в первую очередь затрагивают эти проблемы безопасности — пользователей устройств, работающих под управлением системы Android версии 7.0 и более поздних. В Google утверждают, что вышедшие патчи полностью избавят пользователей от этой головной боли.

В общей сложности американский интернет-гигант устранил 11 уязвимостей, девять из оставшихся представляют собой бреши высокой степени опасности. Часть из них позволяет повысить свои права в атакуемой системе, другие раскрывают информацию.

К счастью, на данный момент нет доказательств использования этих багов в реальных атаках.

DLP-система Стахановец получила сертификат ФСТЭК по 4-му уровню доверия

Компания «Стахановец» получила сертификат соответствия ФСТЭК России на свой программный комплекс для защиты данных от утечек. Речь идет о сертификате №5078 по 4-му уровню доверия. Такой уровень подтверждает, что DLP-система соответствует требованиям ФСТЭК к средствам защиты информации.

После сертификации продукт может применяться в организациях с повышенными требованиями к информационной безопасности, включая государственные информационные системы и объекты критической информационной инфраструктуры.

В компании отметили, что подготовка к сертификации заняла больше года. За это время программный комплекс проходил проверку независимыми лабораториями — оценивались как безопасность и эффективность самого продукта, так и процессы его разработки.

По словам CEO «Стахановца» Дмитрия Исаева, получение сертификата стало подтверждением того, что система может использоваться в средах, где к защите данных предъявляются строгие требования.

Сертификат ФСТЭК стал не единственным документом в портфеле компании. «Стахановец» также имеет действующую лицензию ФСТЭК на разработку и производство средств защиты конфиденциальной информации, а сам продукт включен в Единый реестр российского программного обеспечения Минцифры.

Таким образом, DLP-система получила официальный статус, необходимый для использования в более чувствительных инфраструктурах, где важны не только функции контроля утечек, но и подтвержденное соответствие регуляторным требованиям.

RSS: Новости на портале Anti-Malware.ru