گوگل در بهروزرسانی ماه مارس سال ۲۰۱۹ خود، یازده نقص بحرانی را وصله کردهاست.
منبع : مرکز ماهر
گوگل در بهروزرسانی ماه مارس سال ۲۰۱۹ خود، یازده نقص بحرانی را وصله کردهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گوگل در بهروزرسانی ماه مارس سال ۲۰۱۹ خود، یازده نقص بحرانی را وصله کرد که سه نقص اجرای کد راه دور، شامل دو آسیبپذیری بحرانی چارچوب رسانهای (CVE-۲۰۱۹-۱۹۸۹، CVE-۲۰۱۹-۱۹۹۰) که Android ۷.۰ (Nougat) و نسخههای پس از آن را تحتتأثیر قرار میدهد نیز وصله کردهاست. هیچ اطلاعات CVE در مورد این آسیبپذیریها در دسترس نیست؛ اما با توجه به توصیفات فنی منتشرشده راجع به این دو آسیبپذیری در وبسایت LineageOS Project، هر دوی اینها وابسته به دستورات API کنترل ویدئوی اندروید هستند.
سومین آسیبپذیری بحرانی (CVE-۲۰۱۹-۲۰۰۹) که بر سیستم هستهای اندروید (نسخه ۷ و بعد از آن) تأثیر میگذارد، مربوط به مؤلفه بلوتوث "l۲c_lcc_proc_pdu" است. اطلاعات CVE برای این نقص نیز موجود نیست؛ اما جزییات فنی نشان میدهد که این اشکال مربوط به پشته بلوتوث اندروید است. بردارهای حمله پیشین مربوط به "l۲c_lcc_proc_pdu"، شامل حملات افزایش امتیاز از طریق بلوتوث هستند که درنتیجه نقص نوشتن خارج از محدوده ایجاد میشود.
به گفته گوگل، نقص نوشتن خارج از محدوده بهدلیل نبود محدودیت بررسی است. این امر میتواند منجر به یک افزایش امتیاز راهدور از طریق بلوتوث شود بدون آنکه نیازی به هیچگونه مجوز اضافی باشد. برای سوءاستفاده از این آسیبپذیری، نیازی به تعامل کاربر نیست.
هشت آسیبپذیری بحرانی دیگر در اجزای Qualcomm وجود دارند. دو مورد از این اشکالات مربوط به یک CVE هستند (CVE-۲۰۱۷-۸۲۵۲). این نقص، یک آسیبپذیری «افشای اطلاعات» محلی در TrustZone اندروید (بخش ویژهای از هسته اندورید که سیستمعامل خود را اجرا میکند) است. هر دوی این نقصها مربوط به یک تراشه Qualcomm خاص به نام پردازنده سیگنال دیجیتال هستند.
سامسونگ بهطور جداگانه هفت آسیبپذیری بحرانی را رفع کردهاست. سه وصله منتشرشده توسط سامسونگ برای آسیبپذیریهای CVE-۲۰۱۹-۱۹۸۹ ،CVE-۲۰۱۹-۱۹۹۰ و CVE-۲۰۱۹-۲۰۰۹ وابسته به بهروزرسانی ماه مارس گوگل هستند.
آسیبپذیریهای بحرانی دیگری که توسط سامسونگ وصله شدهاند (CVE-۲۰۱۸-۱۱۲۶۲، CVE-۲۰۱۸-۱۱۲۸۹، CVE-۲۰۱۸-۱۱۸۲۰، CVE-۲۰۱۸-۱۱۹۳۸، CVE-۲۰۱۸-۱۱۹۴۵)، در ماه فوریه توسط گوگل گزارش شدهاند.
بهروزرسانی Google Pixel و دیگر فروشندگان تلفن (سامسونگ، الجی و دیگران) از طریق بهروزرسانیهای هوایی (over-the-air) آغاز شدهاست.
در مجموع، گوگل در ماه مارس سال جاری ۴۵ اشکال را برطرف کردهاست که یازده مورد از آنها بحرانی و ۳۳ مورد با شدت بالا رتبهبندی شدهاند. آسیبپذیری افزایش امتیاز با احتساب ۲۱ اشکال، غالب اشکالات رفعشده در بهروزرسانی ماه مارس سال ۲۰۱۹ بودهاست.