Android Q
Google'i nutitelefonide Android-operatsioonisüsteem sai uue aasta esimese turbevärskenduse. Google'i esimene turvavärskendus 2020. aastal kõrvaldas seitse Androidi viga, mis olid liigitatud kõrge ja kriitilise tähtsusega. Ehkki arvu ja raskusastme reiting võib tunduda murettekitav, on Android OS häkkerite ja pahatahtlike koodide kirjutajate eemal hoidmisel üha parem.
Google'i esimene Androidi turvabülletään 2020 sisaldas plaastrit nutitelefonide operatsioonisüsteemi kriitilise vea jaoks. Vea korralik ja edukas täitmine võib potentsiaalselt lubada häkkeril käivitada meelevaldset, volitamata ja võib-olla pahatahtlikku koodi. Nüüd parandatud turvaviga oli kaugjuhitav. Teisisõnu, see ei nõudnud, et häkker oleks Android-seadme füüsiliselt valduses, ega nõudnud, et ründaja oleks häkkimise käivitamiseks samas võrgus.
Google Android 2020 turvavärskenduse paranduste kodeerimise (RCE) viga:
Google andis välja selle aasta esimese Android OS-i turvapaiga värskenduse ja see sisaldab kaitset kaugkoodri käivitamise (RCE) vea eest, mis oli üks seitsmest kriitilise ja kõrge tõsidusega haavatavusest. The Google News Bulletin mainib lühidalt haavatavusi, kuid ei paku üksikasju turvaprobleemide tõttu,
'Kõige tõsisem neist probleemidest on meediumiraamistiku kriitiline turvanõrkus, mis võib spetsiaalselt koostatud faili kasutaval kaugründajal lubada privilegeeritud protsessi kontekstis suvalise koodi käivitada.'
Kas olete Chrome'i kasutaja? Google on välja andnud värskendatud Windowsi, Maci ja Linuxi süsteemide turvanõrkuste kõrvaldamiseks, mis võimaldab kaugründajal saada mõjutatud süsteemi üle kontrolli.
CCS soovitab kasutajatel ASAP-i värskendada.
Rohkem informatsiooni: https://t.co/txc2GzME7h pic.twitter.com/Jlnt1IA9X9
- U G IT-st (@uofgccs) 8. jaanuar 2020
Otsinguhiiglane, kes arendab ja hooldab ka maailma kõige enam kasutatavat nutitelefonide operatsioonisüsteemi, märkis, et ametlikult märgistatud RCE turvaviga CVE-2020-0002 ja märgistatud kui „Tõsine“, on Androidi meediumiraamistikus olemas. Raamistik sisaldab tuge mitmesuguste levinud meediumitüüpide esitamiseks. Pole vaja lisada, et see moodustab nutitelefoni multimeediumikasutuse ja -tarbimise aluse, kuna see võimaldab kasutajatel heli kuulata ning videole ja piltidele juurde pääseda.
CVE-2020-0002 RCE turvaviga mõjutab Androidi operatsioonisüsteemide versioone 8.0, 8.1 ja 9. Kuigi Google on konkreetselt märkinud, näib, et uusim Androidi versioon 10 on vea suhtes suures osas immuunne. Lisaks veale CVE-2020-0002 parandas Google ka privileegi raskekujulise tõrke vead (CVE-2020-0001, CVE-2020-0003).
Google parandab kriitilise Androidi RCE vea | Ohupost https://t.co/FxxwLUZx2m
- Ralph Collum (@Optimus__Prime) 8. jaanuar 2020
Ettevõte käsitles ka Androidi raamistikus teenuse keelamise (DoS) viga (CVE-2020-0004), mis 'võiks lubada kohalikul pahatahtlikul rakendusel mööda minna kasutajate interaktsiooninõuetest, et pääseda juurde täiendavatele lubadele'. Ülejäänud kolm turvanõrkust, sildid CVE-2020-0006, CVE-2020-0007, CVE-2020-0008, võivad 'põhjustada teabe kaugjuurdepääsu, ilma et oleks vaja täiendavaid täitmisõigusi'.
Peale nende vigade lappis Google ka veel kakskümmend üheksa muud haavatavust. Need olid muide peamiselt seotud Qualcommi komponentidega. Tõsidusviga, märgistatud kui CVE-2019-17666 ja märgistatud kui „Kriitiline”, oli olemas Qualcomm Realteki „RTLWiFi draiveris”. See võib viia kaugkooditäitmise rünnakuni. RTLWiFi draiver võimaldab teatud Realteki WiFi-moodulitel suhelda Linuxi opsüsteemi töötavate seadmete sees ja nendega.
Google pixel 3a turvavärskendus, nüüd saadaval! pic.twitter.com/m6QxCafUV7
- Fdo Aguilar (@Fdo_Aguilar) 6. jaanuar 2020
Google'i viimane 2019. aasta turvavärskendus parandas Androidi operatsioonisüsteemis kolm kriitilise tõsidusega haavatavust. 2019. aasta detsembri Androidi turvabülletään parandas kokku 15 haavatavust, mis levitati kriitilise, kõrge ja keskmise raskusastme reitingute all.
Sildid android google
