Google выпустила обновление для Android с исправлением 39 уязвимостей

image

Теги: уязвимость, обновление, произвольный код, Android

11 ошибок, связанных с компонентами DHCPCD, Media Codec, Mediaserver и libstagefright, позволяли выполнить произвольный код на целевом устройстве.

Компания Google выпустила плановое апрельское обновление безопасности для Android Nexus Security Bulletin - April 2016. В общей сложности сотрудники компании устранили 39 уязвимостей . 16 из них носили статус критических, 16 – высокой степени опасности, еще 8 получили среднюю степень опасности. 

Проэксплуатировав 11 ошибок, связанных с компонентами DHCPCD, Media Codec, Mediaserver и libstagefright, злоумышленник мог удаленно выполнить произвольный код на целевом устройстве при помощи специально сформированного медиафайла. 18 проблем позволяли локальному вредоносному приложению выполнить произвольный код в контексте ядра или системного приложения. Эксплуатация двух уязвимостей (CVE-2016-2424, CVE-2016-2414) в компонентах SyncStorageEngine и Minikin позволяли вызвать отказ в обслуживании, еще 8 ошибок - обойти встроенные механизмы безопасности Android и получить повышенные привилегии на системе.

В числе прочих в обновлении исправлена активно эксплуатируемая хакерами ошибка CVE-2015-1805 . Уязвимость затрагивает все Android-устройства, работающие на базе версии ядра Linux до 3.18. Ошибка позволяет злоумышленнику повысить привилегии и выполнить произвольный код в ядре.

Согласно опубликованному бюллетеню, в настоящее время нет данных об активной эксплуатации вышеперечисленных уязвимостей, помимо CVE-2015-1805.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.