В октябре Google патчит три критические уязвимости в Android

В октябре Google патчит три критические уязвимости в Android

В октябре Google патчит три критические уязвимости в Android

Октябрьский набор патчей для Android устраняет в общей сложности 26 уязвимостей, среди которых есть и несколько опасных брешей в Android 10, приводящих к удалённому выполнению кода.

Самыми опасными считаются три RCE-уязвимости во фреймворке Media: CVE-2019-2184, CVE-2019-2185 и CVE-2019-2186. Всем трём присвоен критический статус, они угрожают пользователям Android 7.1.1, 7.1.2, 8.0, 8.1 и 9.

«Дыра в Media-фреймворке по праву считается самой опасной, так как позволяет удалённому атакующему использовать специально созданный файл, чтобы выполнить код в контексте привилегированного процесса», — отмечают разработчики Google.

Уязвимости CVE-2019-2185 и CVE-2019-2186 также затрагивают последнюю версию операционной системы — Android 10. Однако связанные с эксплуатацией этих дыр риски значительно смягчаются мерами безопасности, реализованными в этой версии ОС. Таким образом, для Android 10 это всего лишь бреши среднего уровня опасности.

Помимо этого, Google устранил уязвимость высокой степени риска в компоненте ядра и серьёзную брешь в компонентах Qualcomm.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Разработчики выступили с критикой новых положений закона о разработке ПО

Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» выступила с критикой положений нового закона, который существенно меняет порядок ведения реестра российского ПО и вводит перечень программного обеспечения, разработанного для собственных нужд компаний.

Документ с этими изменениями был принят Госдумой 22 июля.

Как отмечают в АРПП «Отечественный софт», новые правила могут привести к тому, что ПО, не включённое в основной реестр, будет допущено к использованию в критически важных сферах — включая объекты критической информационной инфраструктуры (КИИ).

По мнению ассоциации, программное обеспечение для внутренних нужд не обязано соответствовать требованиям правомерного введения в гражданский оборот. Это, в свою очередь, создаёт риски при его распространении, поскольку для такого ПО не действуют столь жёсткие критерии, как для тиражных продуктов.

«Законопроект размывает ограничения на участие и контроль со стороны иностранных лиц над разработчиками, вносящими своё ПО в реестр. Это создаёт правовую коллизию, при которой в реестр может быть включён софт, фактически подконтрольный иностранным структурам», — считают в АРПП «Отечественный софт».

Член правления АРПП и председатель совета директоров компании «Базальт СПО» Алексей Смирнов подчеркнул, что критерии признания ПО отечественным уже устоялись. Их изменение, по его мнению, может привести к появлению на рынке продуктов, не соответствующих установленным ранее требованиям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru