Google выпустила плановые обновления безопасности для устройств Pixel, Pixel 2, Nexus и ОС Android.
На этой неделе Google выпустила 49 плановых бюллетеней безопасности для Pixel, Pixel 2 и Nexus. Помимо прочего, декабрьские обновления исправляют серьезную уязвимость в шифровании (CVE-2017-14907).
Проблема связана с компонентами Qualcomm с закрытым исходным кодом и приводит к ослабеванию криптографической защиты смартфонов во время получения ими ключа шифрования диска.
«В Android для MSM, Firefox OS для MSM и QRD Android, а также во всех версиях Android от CAF с использованием ядра Linux надежность шифрования снижается во время получения ключа шифрования диска», - говорится в описании уязвимости в Common Vulnerabilities and Exposures.
Android CAF (Custom Android Firmware) представляет собой кастомизированную ветку ядра Linux, разработанную специально для поддержки чипсетов Qualcomm. Чипы Qualcomm MSM – процессоры, используемые в более ранних высококлассных смартфонах. Android для MSM, Firefox OS для MSM и QRD (Qualcomm Reference Design) Android являются проектами Android, расширяющими поддержку чипов Qualcomm MSM.
Одновременно с бюллетенями безопасности для Pixel, Pixel 2 и Nexus компания Google также выпустила обновления для Android. В общей сложности в мобильной ОС были исправлены 47 уязвимостей, в том числе 10 критических. Самая опасная из них затрагивает Media framework и позволяет удаленному атакующему с помощью специально сконфигурированного файла выполнить произвольный код в контексте привилегированного процесса.
Google отметила уязвимости в Media framework (CVE-2017-0872, CVE-2017-0876, CVE-2017-0877, CVE-2017-0878 и CVE-2017-13151) как «критические», поскольку все они создают условия для удаленного выполнения кода на Android-устройствах. Уязвимыми кодеками Media framework являются libmpeg2, libhevc, libavc и libskia.