Friday, 08 February 2019 19:15

Миллионы устройств на Android можно взломать обычной картинкой

Google внес ряд исправлений в операционную систему, исправив более 40 уязвимостей, четверть из которых была критической. Как минимум одна из них позволяет запускать произвольный код на устройстве жертвы, просто заставив ее открыть специально подготовленный графический PNG-файл.[hi-tech.mail.ru]

Без подробностей

Критическая уязвимость в операционной системе Android позволяет злоумышленникам использовать специально подготовленные графические файлы в распространенном формате PNG для взлома мобильных устройств. Исправление этих багов может быть довольно проблематичным.

Google опубликовал бюллетень безопасности Android, в котором отдельно обозначил три критические уязвимости в компоненте Framework: CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988. Все три позволяют запускать произвольный код на конечном устройстве удаленно. Самая серьезная из них (неизвестно, правда, какая именно) позволяет взламывать устройство с помощью специально подготовленного PNG-файла, причем в контексте процесса с высокими привилегиями.

Все эти уязвимости затрагивают миллионы устройств, работающих под управлением версий Android 7.0-9.0. В базе данных CVE никакого содержательного описания этих уязвимостей нет, под перечисленными индексами стоят пустые зарезервированные страницы. Бюллетень безопасности Google также скуп на подробности.

Исходные коды для патчей опубликованы в репозитории Android Open Source Project. У Google пока нет данных о попытках эксплуатировать эти уязвимости злоумышленниками.

42 уязвимости, 11 — критические

Помимо трех перечисленных критических багов в Framework, последнее обновление Android исправляет еще восемь критических уязвимостей. Всего же исправлено 42 уязвимости, и кроме 11 критических и одной, чья опасность оценивается как средняя, все считаются опасными.

Устройства на Android можно взламывать с помощь PNG-файла

Исходные коды для патчей опубликованы в репозитории AndroidOpenSourceProject. У Google пока нет данных о попытках эксплуатировать эти уязвимости злоумышленниками.

Комментарий эксперта

«Отсутствие детальной информации может быть связано с тем, что эксплуатировать данные уязвимости слишком легко, притом что последствия могут быть предельно серьезными, — полагает Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — Проблема еще в том, что, хотя Google и выпустил необходимые обновления, распространить их на конечные устройства должны их непосредственные производители, а это может занять какое-то время. Все это время устройства будут оставаться уязвимыми, и, соответственно, раскрытие подробностей даст хакерам карт-бланш».

Подробнее: http://safe.cnews.ru/news/top/2019-02-08_milliony_ustrojstv_na_android_mozhno_vzlomat

Заявка на участие в тренинге
Личные данные

ФИО (англ.яз)
Неверный ввод

ФИО (рус.яз)
Неверный ввод

ФИО (каз.яз)
Неверный ввод

Дата рождения
Неверный ввод

Пол
Неверный ввод

Адрес

Страна
Неверный ввод

Город
Неверный ввод

Улица, дом, квартира
Неверный ввод

Почтовый индекс
Неверный ввод

Бизнес информация

Область деятельности
Неверный ввод

Место работы
Неверный ввод

Должность
Неверный ввод

Контактные данные

Мобильный телефон
Неверный ввод

Домашний телефон
Неверный ввод

Рабочий телефон
Неверный ввод

Электронная почта
Неверный ввод

Skype
Неверный ввод

Уровень образования на время заполнения заявки:
Неверный ввод

ОБРАЗОВАНИЕ (1)

Учебное заведение
Неверный ввод

Факультет
Неверный ввод

Специальность
Неверный ввод

Дата окончания
Неверный ввод

Номер диплома
Неверный ввод

Ученая степень

Дата получения
Неверный ввод

Степень
Неверный ввод

Название и номер документа, удостоверяющего получение
Неверный ввод