Google: В ОС Android исправлено 19 уязвимостей


AndroiddВ понедельник, 7 марта, компанией Google было выпущено исправление безопасности для ОС Android. В общей сложности обновление призвано исправить 19 уязвимостей в мобильной ОС. Наиболее опасные уязвимости позволяли выполнить произвольный код с привилегиями ядра системы и повысить привилегии.


К критическим уязвимостям относятся:

  • CVE-2016-0815, CVE-2016-0816 - уязвимости в компоненте mediaserver. Бреши позволяли скомпрометировать систему с помощью специально сформированного файла. Эксплуатация этих уязвимостей вызывает повреждение памяти и позволяет выполнить произвольный код с привилегиями процесса mediaserver. Для успешной эксплуатации уязвимостей жертве необходимо загрузить и запустить вредоносный файл.

  • CVE-2016-1621 - аналогичная уязвимость, однако обнаруженная в библиотеке libvpx.

  • CVE-2016-0818 - уязвимость в компоненте Conscrypt, позволяющая злоумышленнику осуществить атаку "человек посередине". Ошибка существует из-за некорректной обработки определенных сертификатов, выпущенных промежуточными центрами сертификации.

  • CVE-2016-0819, CVE-2016-0820, CVE-2016-0728 - уязвимости, существующие из-за ошибок в компонентах Qualcomm Performance, Mediatek Wi-Fi Driver и Kernel Keyring соответственно. Локальное вредоносное приложение может выполнить произвольный код с привилегиями ядра системы. При этом эксплуатация уязвимости CVE-2016-0819 приводит к постоянной компрометации устройства. Для устранения последствий атаки потребуется перепрошивка.


К опасным уязвимостям отнеслись:

  • CVE-2016-0821 - уязвимость в ядре операционной системы, позволяющая обойти определенные ограничения безопасности. Эксплуатация ошибки позволяет злоумышленникам обойти некоторые меры безопасности, предназначенные для предотвращения осуществления атак.

  • CVE-2016-0822 - уязвимость в драйвере Mediatek Connectivity Kernel Driver. Брешь позволяла локальному приложению выполнить произвольный код с привилегиями ядра системы.

  • CVE-2016-0823, CVE-2016-0824, CVE-2016-0825, CVE-2016-0828, CVE-2016-0829 - уязвимости, позволяющие раскрыть важные данные. Ошибки существовали из-за некорректной работы некоторых компонентов, включая libstagefright, Widevine и Mediaserver.

  • CVE-2016-0826, CVE-2016-0827 - уязвимости, существовавшие из-за ошибок в компоненте mediaserver. Бреши позволяли локальному приложению выполнить произвольный код с повышенными привилегиями.


Прочие уязвимости:

  • CVE-2016-0831 - позволяли осуществить DoS-атаку с помощью специально сформированных Bluetooth-запросов;
  • CVE-2016-0832 - позволяла злоумышленнику неавторизованно выполнить сброс устройства до заводских настроек.


Все уязвимости были исправлены в Android 6.0 (версия сборки LMY49H).


Обновлено (09.03.2016 21:03)