Первые патчи для Android в 2025-м устранили критические RCE-уязвимости

Первые патчи для Android в 2025-м устранили критические RCE-уязвимости

Первые патчи для Android в 2025-м устранили критические RCE-уязвимости

В начале этой недели Google выпустила первые патчи для устройств на Android в 2025 году. В общей сложности заплатки закрывают 36 уязвимостей, включая критические баги в компоненте System.

Апдейт по традиции разделили на две части: 2025-01-01 security patch и 2025-01-05 security patch. Первая часть устраняет 24 уязвимости, вторая — 12.

Пять брешей получили статус критических: CVE-2024-43096, CVE-2024-43770, CVE-2024-43771, CVE-2024-49747 и CVE-2024-49748. Эти дыры способны привести к удалённому выполнению кода и затрагивают версии Android 12, 12L, 13, 14 и 15.

«Наиболее опасная брешь располагается в компоненте System и открывает возможность для удалённого выполнения кода, не требуя при этом дополнительных привилегий», — пишет Google.

Ещё девять уязвимостей, затрагивающих System, получили высокую степень риска. Столько же нашли в компоненте Framework, а Media Framework затрагивает один баг. С помощью этих дыр условные атакующие могут повысить права, раскрыть информацию и, опять же, выполнить код удалённо.

Как отмечалось выше, 2025-01-05 security patch устраняет 12 уязвимостей в компонентах Imagination Technologies, MediaTek и Qualcomm.

Смартфоны Pixel также получили свои патчи: в этих устройствах нашли и устранили брешь CVE-2024-53842, приводящую к удалённому выполнению кода.

Все согласия на обработку данных хотят собрать на Госуслугах

Минцифры снова достало из ящика идею единой платформы для управления согласиями на обработку персональных данных. Разместить её планируют на «Госуслугах», а соответствующие поправки уже включили в проект третьего пакета антифрод-мер.

Гражданин сможет дать согласие компании напрямую или через портал. Но даже если документ подписан на сайте банка, магазина или работодателя, оператору придётся передать сведения на «Госуслуги». То же самое с отзывом согласия.

В результате пользователь теоретически увидит в одном месте все разрешения, которые когда-либо раздал компаниям, и сможет их отменить. Минцифры считает, что это поможет бороться с незаконным оборотом персональных данных и мошенничеством.

Есть и более серьёзное изменение. Сейчас бизнес может запрашивать согласие во множестве ситуаций. Новые правила предлагают разрешить это только в случаях, прямо предусмотренных законами или международными договорами.

Масштаб задачи впечатляет: по данным Роскомнадзора, в России зарегистрировано более 2,6 млн операторов персональных данных. Всем им потенциально придётся интегрироваться с новой платформой и перестраивать внутренние процессы.

В Ассоциации больших данных идею встретили без восторга. Там считают, что реформа слишком большая для антифрод-пакета, потребует огромных затрат и сама по себе не остановит мошенников.

Эксперты также предупреждают: поправки фактически переворачивают действующую систему работы с персональными данными, но понятной альтернативы согласию пока не предлагают.

Впрочем, финального текста ещё нет. Минцифры пока собирает замечания.

RSS: Новости на портале Anti-Malware.ru