Google закрыла три десятка уязвимостей в Android

Google закрыла три десятка уязвимостей в Android

Google закрыла три десятка уязвимостей в Android

Компания Google выпустила очередные патчи для Android, суммарно устранив более 30 уязвимостей. Последние, как всегда, разделены на две группы: проблемы, актуальные для всех Android-устройств (уровень исправлений по состоянию на 1 ноября, патчи рекомендуется раздать пользователям в первую очередь), и уязвимости, характерные для некоторых моделей (уровень исправлений на 5 ноября; в набор патчей следует включить также те, что предназначены для всех Android-устройств).

Партнеров Google уведомила о новых проблемах как минимум за месяц до публикации ноябрьского бюллетеня. На ее собственные устройства обновления будут раздаваться OTA (over-the-air — «по воздуху», с использованием беспроводной связи). Исходные коды новых патчей уже загружены в хранилище AOSP.

Самой серьезной из новых проблем, согласно бюллетеню, является возможность удаленного исполнения кода (RCE), выявленная в одном из системных компонентов Android. Эксплуатация уязвимости предполагает передачу на устройство вредоносных данных с близкого расстояния. В случае успеха автор атаки сможет выполнить произвольный код в контексте привилегированного процесса.

Критической RCE-уязвимости присвоен идентификатор CVE-2020-0449, ей подвержены ОС Android версий 8.0, 8.1, 9, 10 и 11. Кроме нее, в системных компонентах ОС устранили шесть багов высокой степени опасности.

Еще две критические уязвимости были обнаружены во фреймворке Android. Обе они позволяют с помощью особого сообщения вызвать на устройстве стойкое состояние отказа в обслуживании (DoS).

В компонентах Media Framework выявлено три уязвимости. Степень опасности одной из них (CVE-2020-0451) зависит от используемой версии ОС: на Android 10 и 11 эта проблема грозит раскрытием конфиденциальной информации и признана высоко опасной, для версий 8.0, 8.1 и 9 она критична, так как позволяет с помощью специально созданного файла выполнить любой код в контексте привилегированного процесса.

Набор патчей, соответствующий уровню защищенности на 5 ноября, закрывает также ряд дыр в компонентах производства MediaTek и Qualcomm. В пакет обновлений, предназначенный для устройств Pixel, разработчик включил четыре дополнительные заплатки для компонентов Qualcomm.

Из партнеров Google ноябрьские обновления пока выпустили лишь LG и Samsung.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

KB5062660 добавило в Windows чёрный экран смерти и автовосстановление ОС

Microsoft выпустила предварительное обновление KB5062660 для Windows 11 версии 24H2. В нём — аж 29 новых фич и изменений. Обновление пока необязательное (то есть ставить его — по желанию), и большинство нововведений будет раскатываться постепенно. Но уже можно взглянуть на кое-что интересное.

Главное — новые функции в рамках инициативы Windows Resiliency Initiative. Это программа Microsoft, направленная на то, чтобы система быстрее приходила в себя после сбоев.

Теперь в Windows 11 есть:

  • Чёрный экран смерти (Black Screen of Death) — новый вариант привычного синего экрана, который вы можете увидеть при серьёзной ошибке. Видимо, Microsoft решила, что чёрный цвет — это серьёзнее.
  • Быстрое восстановление машины (Quick Machine Recovery) — функция, которая должна помогать системе автоматически возвращаться к рабочему состоянию после фатальных сбоев. Включается через Параметры > Система > Восстановление.

Как установить обновление? Если хотите попробовать всё прямо сейчас, надо зайти в Параметры > Центр обновления Windows и нажать «Проверить наличие обновлений».

Апдейт необязательный, так что система предложит нажать «Скачать и установить». Если включена опция «Получать обновления как только они доступны», он установится сам.

Также его можно вручную скачать с сайта Microsoft Update Catalog. KB5062660 — это превью-обновление за июль. Финальная версия с этими функциями (и, возможно, ещё с парой новых) появится в августе, в рамках традиционного Patch Tuesday.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru