Google выпустила обновления безопасности, устраняющие две критические уязвимости, которые способны привести к удаленному выполнению кода (RCE). Помимо этого, корпорация также исправила девять опасных проблем эскалации привилегий. Все патчи вышли в рамках регулярного обновления Android Open Source Project (AOSP).
Две самые опасные уязвимости из этого набора — CVE-2019-2027 и CVE-2019-2028 — присутствуют во фреймворке Media. Эти дыры позволяют злоумышленнику провести атаку при помощи специально созданных файлов.
В результате, если киберпреступник успешно использует эти бреши, он сможет добиться выполнения кода в контексте процесса с высокими привилегиями.
CVE | Тип | Уровень опасности | Обновленные версии AOSP |
CVE-2019-2027 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
CVE-2019-2028 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Кого в первую очередь затрагивают эти проблемы безопасности — пользователей устройств, работающих под управлением системы Android версии 7.0 и более поздних. В Google утверждают, что вышедшие патчи полностью избавят пользователей от этой головной боли.
В общей сложности американский интернет-гигант устранил 11 уязвимостей, девять из оставшихся представляют собой бреши высокой степени опасности. Часть из них позволяет повысить свои права в атакуемой системе, другие раскрывают информацию.
К счастью, на данный момент нет доказательств использования этих багов в реальных атаках.