Без подробностей
Критическая уязвимость в операционной системе Android позволяет злоумышленникам использовать специально подготовленные графические файлы в распространенном формате PNG для взлома мобильных устройств. Исправление этих багов может быть довольно проблематичным.
Google опубликовал бюллетень безопасности Android, в котором отдельно обозначил три критические уязвимости в компоненте Framework: CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988. Все три позволяют запускать произвольный код на конечном устройстве удаленно. Самая серьезная из них (неизвестно, правда, какая именно) позволяет взламывать устройство с помощью специально подготовленного PNG-файла, причем в контексте процесса с высокими привилегиями.
Все эти уязвимости затрагивают миллионы устройств, работающих под управлением версий Android 7.0-9.0. В базе данных CVE никакого содержательного описания этих уязвимостей нет, под перечисленными индексами стоят пустые зарезервированные страницы. Бюллетень безопасности Google также скуп на подробности.
Исходные коды для патчей опубликованы в репозитории Android Open Source Project. У Google пока нет данных о попытках эксплуатировать эти уязвимости злоумышленниками.
42 уязвимости, 11 — критические
Помимо трех перечисленных критических багов в Framework, последнее обновление Android исправляет еще восемь критических уязвимостей. Всего же исправлено 42 уязвимости, и кроме 11 критических и одной, чья опасность оценивается как средняя, все считаются опасными.
Исходные коды для патчей опубликованы в репозитории AndroidOpenSourceProject. У Google пока нет данных о попытках эксплуатировать эти уязвимости злоумышленниками.
Комментарий эксперта
«Отсутствие детальной информации может быть связано с тем, что эксплуатировать данные уязвимости слишком легко, притом что последствия могут быть предельно серьезными, — полагает Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — Проблема еще в том, что, хотя Google и выпустил необходимые обновления, распространить их на конечные устройства должны их непосредственные производители, а это может занять какое-то время. Все это время устройства будут оставаться уязвимыми, и, соответственно, раскрытие подробностей даст хакерам карт-бланш».
Источник: cnews.ru