گوگل آسیبپذیری بحرانی را در اندروید برطرف کرد که به مهاجم اجازه ارسال تصاویر مخرب دارای پسوند PNG میداد.
منبع : مرکز مدیریت راهبردی افتا
گوگل آسیبپذیری بحرانی را در اندروید برطرف کرد که به مهاجم اجازه ارسال تصاویر مخرب دارای پسوند PNG میداد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گوگل یک آسیبپذیری بحرانی در نسخه فعلی و قدیمی سیستمعامل اندروید که به مهاجم اجازه ارسال یک فایل PNG با ساختار خاص به دستگاه هدف و اجرای کد دلخواه را میدهد، رفع کرد.
در اطلاعیه امنیتی ماه فوریه اندروید، گوگل سه آسیبپذیری مهم اندروید را رفع کردهاست (CVE-۲۰۱۹-۱۹۸۶، CVE-۲۰۱۹-۱۹۸۷ و CVE-۲۰۱۹-۱۹۸۸) که یکی از آنها مربوط به نقص PNG است. نسخههای دارای این مشکل از نسخه ۷,۰ تا نسخه ۹.۰ هستند.
بر اساس این اطلاعیه امنیتی، مهمترین مورد، آسیبپذیری بحرانی پلتفرم اندروید است که اجازه اجرای کد دلخواه در بستر یک فرایند با دسترسی بالا با استفاده از یک فایل PNG ویژه را برای مهاجم فراهم میکند.
مهاجم با بهرهگیری از این نقص میتواند از طریق ارسال یک تصویر تلهگذاری شده یا فریبدادن کاربر به دنبالکردن یک پیوند مخرب ارسالشده از طریق سرویس پیامهای تلفنهمراه، کنترل یک دستگاه اندرویدی آسیبپذیر را بهدستبگیرد. گوگل بیانکرد که گزارشی مبنی بر سواستفاده از آسیبپذیریهای موجود در اطلاعیه امنیتی فوریه خود دریافت نکردهاست.
در مجموع، گوگل ۴۲ راهحل امنیتی منتشر کردهاست که ۳۰ مورد از آنها دارای درجه اهمیت بحرانی هستند. چهار اشکال مربوط به قطعات سختافزاری اندروید ساخت NVIDIA و پنج مورد مربوط به تراشهساز Qualcomm بودند.
انتظار میرود شرح مفصلی از شناسهها ومشخصات مربوط به این آسیبپذیریها در روزهای آینده منتشر شوند.
از سوی دیگر، LG روز شنبه 6 وصله را برای آسیبپذیریهای مهم هدستهای خود، همراه با ۲۱ باگ بحرانی و یک باگ با درجه حساسیت متوسط منتشرکرد.
Qualcomm اطلاعاتی در مورد چندین آسیبپذیری موجود در اطلاعیه فوریه منتشرکرد. بهعنوان مثال، نقص بحرانی CVE-۲۰۱۸-۱۱۲۸۹ ناشی از یک نقص بافر- کپی در یک تابع تراشه Qualcomm است که در آن، خرابی دادهها هنگام تبدیل از نوع بالا به پایین، باعث تخصیص حافظه کمتر نسبت به میزان مطلوب و درنهایت منجر به سرریز بافر میشود.