Samsung выпустил пакет обновлений, закрывающих уязвимости в Android

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 10 Aug 2020.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    169
    Likes Received:
    550
    Reputations:
    5
    Компания Samsung начала выпуск августовских обновлений безопасности Android для мобильных устройств, чтобы исправить критические уязвимости в операционной системе.

    На прошлой неделе Android опубликовал свои обновления безопасности за август 2020 года, которые включают в себя многочисленные исправления безопасности для критических уязвимостей, влияющих на новейшие устройства.

    По информации BleepingComputer, устройства Samsung Galaxy автоматически загружают обновления, начиная с 8 августа 2020 года. Эти обновления включают улучшения камеры и оптимизацию Wi-Fi, а также некоторые довольно важные исправления безопасности.

    [​IMG]
    Android установка обновлений за август 2020 на Samsung Galaxy S10 5G
    Источник: BleepingComputer
    Все уязвимости в этом обновлении имеют рейтинг серьезности «Высокая» или «Критическая», что делает это обновление обязательным для пользователей Android, чтобы их устройства оставались защищенными.

    От RCE до обходу пользовательского интерфейса: самые опасные уязвимости

    Из всех патчей важнейшим является исправление CVE-2020-0240, уязвимости удаленного выполнения кода, вызванной ошибкой «integer overflow» в операционной системе Android.

    "Самая серьезная уязвимость в этом разделе может позволить удаленному злоумышленнику, использующему специально созданный файл, выполнить произвольный код в контексте непривилегированного процесса», - поясняется в информационном бюллетене.

    В случае успешного использования эта уязвимость позволит удаленному злоумышленнику получить полный контроль над вашим устройством.

    [​IMG]
    Исправление зеленого цвета для CVE-2020-0240: ошибка RCE с целочисленным переполнением
    Источник:
    Google Git
    К другим уязвимостям относятся уязвимости, позволяющие полностью обойти взаимодействие с пользователем для получения повышенных разрешений. Эта уязвимость позволяет злоумышленнику запускать код с более высокими разрешениями, чем обычно.

    В информационном бюллетене говорится, что в случае эксплуатации «наиболее серьезная уязвимость в этом разделе может позволить локальному вредоносному приложению обойти требования взаимодействия с пользователем для получения доступа к дополнительным разрешениям».

    Другие заметные уязвимости, исправленные в этом обновлении, сгруппированы ниже:

    Framework:
    CVE References Type Severity Updated AOSP versions
    CVE-2020-0240 A-150706594 RCE High 10
    CVE-2020-0238 A-150946634 EoP High 8.0, 8.1, 9, 10
    CVE-2020-0257 A-156741968 EoP High 10
    CVE-2020-0239 A-151095863 ID High 9, 10
    CVE-2020-0249 A-154719656 ID High 8.0, 8.1, 9, 10
    CVE-2020-0258 A-157598956 ID High 10
    CVE-2020-0247 A-156087409 DoS High 8.0, 8.1, 10
    Media Framework:
    CVE References Type Severity Updated AOSP versions
    CVE-2020-0241 A-151456667 EoP High 8.0, 8.1, 9, 10
    CVE-2020-0242 A-151643722 EoP High 8.0, 8.1, 9, 10
    CVE-2020-0243 A-151644303 EoP High 8.0, 8.1, 9, 10
    System:
    CVE References Type Severity Updated AOSP versions
    CVE-2020-0108 A-140108616 [2] [3] [4] EoP High 8.1, 9, 10
    CVE-2020-0256 A-152874864 EoP High 8.0, 8.1, 9, 10
    CVE-2020-0248 A-154627439 ID High 10
    CVE-2020-0250 A-154934934 ID High 10
    Полный список многих других CVE, которые были исправлены в различных компонентах, представлен в бюллетене.

    Некоторые уязвимости всё ещё можно использовать

    На некоторых устройствах Samsung Galaxy выпущенные на этой неделе обновления имеют последний «уровень исправления безопасности» от «01.08.2020». Это означает, что уязвимости высокой степени серьезности, связанные с повышением привилегий (EoP), которые должны быть исправлены «патчем безопасности 2020-08-05», по-прежнему могут использоваться.

    Только одна из этих уязвимостей, CVE-2020-0259, например, может позволить локально присутствующему злоумышленнику выполнить произвольный код на непропатченном устройстве путем повышения привилегий.

    Пользователям рекомендуется немедленно обновить свои устройства Android, чтобы обезопасить себя от этих ошибок и убедиться, что на их устройствах включены настройки «автообновления».

     
    Suicide likes this.
Loading...