Состоялся релиз плановых обновлений для Android

Состоялся релиз плановых обновлений для Android

Google устранила уязвимость Drammer, но оставила неисправленной Dirty COW.  

image

Компания Google выпустила плановые ежемесячные обновления безопасности для своей мобильной операционной системы Android. В частности была исправлена уязвимость Drammer , позволяющая осуществлять манипуляции с битами (bit-flipping) и повысить привилегии. Тем не менее, опасная уязвимость в ядре Linux, получившая название Dirty COW , осталась неисправленной.

Как и в последние несколько месяцев, Google разделила обновления на несколько частей – так называемые «уровни патчей безопасности» («security patch levels»). Подобное разделение упрощает производителям электроники процесс доставки обновлений, поскольку позволяет выбирать патчи, необходимые конкретно их устройствам.

Уровень 2016-11-01 исправляет уязвимости в собственных компонентах Android. Две из них обозначены как критические, 16 имеют высокий уровень опасности, а остальные 10 – средний. Одна критическая уязвимость затрагивает Mediaserver. Для ее эксплуатации злоумышленник должен заставить жертву открыть специально сконфигурированный медиафайл. Вторая критическая уязвимость содержится в библиотеке libzipfile и позволяет вредоносному приложению выполнить код в контексте привилегированного процесса.

Уровень 2016-11-05 исправляет проблемы с безопасностью в драйверах для различных аппаратных компонентов. 21 уязвимость получила критический уровень опасности, 23 – высокий и 10 – средний. Критические уязвимости содержатся в файловой системе ядра, драйвере для SCSI, драйвере для медиа, драйвере для USB, подсистеме ION, сетевой и звуковой подсистемах, драйвере для видеокарты Nvidia и других компонентах.

Уровень 2016-11-06 предназначен для уязвимости Dirty COW, существующей в ядре Linux уже девять лет и эксплуатируемой хакерами. Устройства Google Nexus и Pixel пока не получили данное обновление. Скорее всего, оно будет выпущено в следующем месяце.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.