11 ошибок, связанных с компонентами DHCPCD, Media Codec, Mediaserver и libstagefright, позволяли выполнить произвольный код на целевом устройстве.
Компания Google выпустила плановое апрельское обновление безопасности для Android Nexus Security Bulletin - April 2016. В общей сложности сотрудники компании устранили 39 уязвимостей . 16 из них носили статус критических, 16 – высокой степени опасности, еще 8 получили среднюю степень опасности.
Проэксплуатировав 11 ошибок, связанных с компонентами DHCPCD, Media Codec, Mediaserver и libstagefright, злоумышленник мог удаленно выполнить произвольный код на целевом устройстве при помощи специально сформированного медиафайла. 18 проблем позволяли локальному вредоносному приложению выполнить произвольный код в контексте ядра или системного приложения. Эксплуатация двух уязвимостей (CVE-2016-2424, CVE-2016-2414) в компонентах SyncStorageEngine и Minikin позволяли вызвать отказ в обслуживании, еще 8 ошибок - обойти встроенные механизмы безопасности Android и получить повышенные привилегии на системе.
В числе прочих в обновлении исправлена активно эксплуатируемая хакерами ошибка CVE-2015-1805 . Уязвимость затрагивает все Android-устройства, работающие на базе версии ядра Linux до 3.18. Ошибка позволяет злоумышленнику повысить привилегии и выполнить произвольный код в ядре.
Согласно опубликованному бюллетеню, в настоящее время нет данных об активной эксплуатации вышеперечисленных уязвимостей, помимо CVE-2015-1805.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале