وصله‌ امنیتی ماه می گوگل
رفع چهار آسیب‌پذیری اجرای کد راه‌دور اندروید
کد مطلب: 15382
تاریخ انتشار : سه شنبه ۳۱ ارديبهشت ۱۳۹۸ ساعت ۱۲:۵۹
 
در وصله‌ امنیتی ماه می گوگل، چهار آسیب‌پذیری منجر به اجرای کد راه‌دور در اندروید برطرف شد.
رفع چهار آسیب‌پذیری اجرای کد راه‌دور اندروید
 
 
Share/Save/Bookmark
‫در وصله‌ امنیتی ماه می  گوگل، چهار آسیب‌پذیری منجر به اجرای کد راه‌دور در اندروید برطرف شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، وصله‌های امنیتی منتشرشده توسط گوگل در ماه می سال ۲۰۱۹، هشت آسیب‌‌پذیری بحرانی در سیستم‌عامل Google، ازجمله  چهار ‫آسیب‌پذیری اجرای کد راه‌دور را برطرف می‌سازد.

شدیدترین نقص رفع‌شده در این به‌روزرسانی، یک اشکال بحرانی در Media Framework است که ممکن است از راه دور با استفاده از یک فایل ساختگی خاص برای اجرای کد دلخواه در محدوده‌ی فرایند مجاز، مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۹-۲۰۴۴ ردیابی می‌شود و نسخه‌های ۷.۰، ۷.۱.۱، ۷.۱.۲، ۸.۰، ۸.۱و ۹ از سیستم‌عامل اندروید را تحت‌تأثیر قرار می‌دهد و در تمام دستگاه‌هایی که سطح وصله امنیتی Android ۲۰۱۹-۰۵-۰۱ را اجرا می‌کنند، برطرف شده‌است.

آسیب‌‌پذیری‌های بحرانی دیگری که در این سطح وصله برطرف شده‌اند شامل سه نقص اجرای کد راه دور (CVE-۲۰۱۹-۲۰۴۵، CVE-۲۰۱۹-۲۰۴۶ و CVE-۲۰۱۹-۲۰۴۷) در سیستم هستند. این نقص‌ها، نسخه‌های ۷.۰، ۷.۱.۱، ۷.۱.۲، ۸.۰، ۸.۱و ۹ از سیستم‌عامل اندروید را تحت‌تأثیر قرار می‌دهند.

پنج آسیب‌‌پذیری دیگری که در به‌روزرسانی ماه می سال ۲۰۱۹ برطرف شده‌اند شامل دو نقص افزایش امتیاز (CVE-۲۰۱۹-۲۰۴۹، CVE-۲۰۱۹-۲۰۵۰) و سه نقص افشای اطلاعات (CVE-۲۰۱۹-۲۰۵۱، CVE-۲۰۱۹-۲۰۵۲ و CVE-۲۰۱۹-۲۰۵۳) هستند. تمامی این پنج آسیب‌پذیری از نظر شدت، «بالا» رتبه‌بندی شده‌اند.

سطح وصله امنیتی Android ۲۰۱۹-۰۵-۰۱ یک نقص افزایش امتیاز با شدت «متوسط» در Framework را نیز برطرف می‌سازد. این نقص که با شناسه‌ی CVE-۲۰۱۹-۲۰۴۳ ردیابی می‌شود، می‌تواند یک برنامه‌ی کاربردی مخرب محلی را قادر سازد نیازمندی‌های تعامل کاربر را به‌منظور دست‌یافتن به مجوزهای بیشتر، دور بزند.

بخش دوم مجموعه وصله‌های اندرویدی ماه می سال ،۲۰۱۹ مسائل مربوط به اجزای Kernel، اجزای Broadcom، اجزای Qualcomm و اجزای متن بسته‌ی (closed-source) Qualcomm را برطرف می‌سازد. این آسیب‌پذیری‌ها در تمامی دستگاه‌هایی که سطح وصله‌ی امنیتی Android ۲۰۱۹-۰۵-۰۵ را اجرا می‌کنند، برطرف شده‌اند. این نقص‌ها شامل یک اشکال افزایش امتیاز با شدت متوسط در اجزای Kernel، یک مشکل افزایش امتیاز با شدت بالا در اجزای NVIDIA و یک آسیب‌پذیری اجرای کد راه دور با شدت بالا در اجزای Broadcomm هستند. دو نقص برطرف‌شده در اجزای Qualcomm از نظر شدت، «بالا» رتبه‌بندی شده‌اند و ۱۵ نقص بطرف شده، مربوط به اجزای متن بسته‌ی Qualcomm هستند که ۴ مورد از آن‌ها بحرانی و ۱۱ مورد دیگر بالا رتبه‌بندی شده‌اند. چهار آسیب‌پذیری بحرانی در اجزای متن‌بسته‌ی Qualcomm، با شناسه‌ی CVE-۲۰۱۸-۵۹۱۲، CVE-۲۰۱۸-۱۳۸۹۸، CVE-۲۰۱۹-۲۲۵۵ و CVE-۲۰۱۹-۲۲۵۶ ردیابی می‌شوند.

همانند چندین ماه گذشته، بولتن به‌روزرسانی Pixel برای ماه می سال ۲۰۱۹، شامل هیچ‌گونه وصله امنیتی نیست. هیچ وصله‌ عملکردی نیز برای این دستگاه‌ها منتشر نشده‌است. با این حال، دستگاه‌های Pixel یک به‌روزرسانی دریافت خواهندکرد که اصلاحات مربوط به مسائل بولتن امنیتی ماه می سال ۲۰۱۹ اندروید را ارائه خواهدکرد.

با انتشار بولتن‌های امنیتی گوگل، دارندگان گوشی‌های Pixel گوگل می‌توانند آن را به سرعت دریافت کنند؛ اما دریافت به‌روزرسانی امنیتی برای کاربران اندرویدی گوشی‌های هوشمند سایر فروشندگان ممکن است چندین ماه طول بکشد. این امر، یک وضعیت گیج‌کننده و نارضایتمندانه است که گوگل چندین سال است سعی دارد آن را برطرف سازد و اخیراً توضیح داده‌است که چگونه می‌خواهد این مسائل را در نسخه‌ی بعدی Android (در حال حاضر با عنوان Android Q) بهبود بخشد. در حال حاضر، به‌روزرسانی امنیتی Google از طریق سازندگان تلفن همراه، به صورت به‌روزرسانی‌هایی که مختصات عناصر هر مدل و فروشنده را شامل می‌شود، دریافت می‌شود. ناگزیر، این امر زمان‌بر است.

با توجه به جزییات منتشر شده در کنفرانس توسعه Google I/O ۲۰۱۹ و در مصاحبه‌ای با The Verge، پروژه اصلی این شرکت برای Q، یک رویکرد کاملاً متفاوت است که یک لیست از ۱۴ ماژول OS را هوایی (over-the-air) مستقیماً از Play Store به‌روزرسانی می‌کند. این ماژول‌ها عبارت‌اند از:

• ANGLE
• APK
• ورود به پورتال Captive
• Conscrypt
• برطرف‌کننده‌ DNS
• Documents UI
• ExtServices
• کدک‌های Media
• اجزای Media Framework
• پیکربندی مجوز شبکه
• اجزای شبکه‌‌سازی
• کنترل‌گر مجوز
• داده‌‌های Time zone
• ابرداده‌های ماژول

به عبارتی دیگر، به‌روزرسانی این عناصر، مستقیماً از Google بدون هر گونه واسطی صورت خواهدگرفت.
مرجع : مرکز ماهر