در وصله امنیتی ماه می گوگل، چهار آسیبپذیری منجر به اجرای کد راهدور در اندروید برطرف شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، وصلههای امنیتی منتشرشده توسط گوگل در ماه می سال ۲۰۱۹، هشت آسیبپذیری بحرانی در سیستمعامل Google، ازجمله چهار آسیبپذیری اجرای کد راهدور را برطرف میسازد.
شدیدترین نقص رفعشده در این بهروزرسانی، یک اشکال بحرانی در Media Framework است که ممکن است از راه دور با استفاده از یک فایل ساختگی خاص برای اجرای کد دلخواه در محدودهی فرایند مجاز، مورد سوءاستفاده قرار گیرد. این آسیبپذیری با شناسهی CVE-۲۰۱۹-۲۰۴۴ ردیابی میشود و نسخههای ۷.۰، ۷.۱.۱، ۷.۱.۲، ۸.۰، ۸.۱و ۹ از سیستمعامل اندروید را تحتتأثیر قرار میدهد و در تمام دستگاههایی که سطح وصله امنیتی Android ۲۰۱۹-۰۵-۰۱ را اجرا میکنند، برطرف شدهاست.
آسیبپذیریهای بحرانی دیگری که در این سطح وصله برطرف شدهاند شامل سه نقص اجرای کد راه دور (CVE-۲۰۱۹-۲۰۴۵، CVE-۲۰۱۹-۲۰۴۶ و CVE-۲۰۱۹-۲۰۴۷) در سیستم هستند. این نقصها، نسخههای ۷.۰، ۷.۱.۱، ۷.۱.۲، ۸.۰، ۸.۱و ۹ از سیستمعامل اندروید را تحتتأثیر قرار میدهند.
پنج آسیبپذیری دیگری که در بهروزرسانی ماه می سال ۲۰۱۹ برطرف شدهاند شامل دو نقص افزایش امتیاز (CVE-۲۰۱۹-۲۰۴۹، CVE-۲۰۱۹-۲۰۵۰) و سه نقص افشای اطلاعات (CVE-۲۰۱۹-۲۰۵۱، CVE-۲۰۱۹-۲۰۵۲ و CVE-۲۰۱۹-۲۰۵۳) هستند. تمامی این پنج آسیبپذیری از نظر شدت، «بالا» رتبهبندی شدهاند.
سطح وصله امنیتی Android ۲۰۱۹-۰۵-۰۱ یک نقص افزایش امتیاز با شدت «متوسط» در Framework را نیز برطرف میسازد. این نقص که با شناسهی CVE-۲۰۱۹-۲۰۴۳ ردیابی میشود، میتواند یک برنامهی کاربردی مخرب محلی را قادر سازد نیازمندیهای تعامل کاربر را بهمنظور دستیافتن به مجوزهای بیشتر، دور بزند.
بخش دوم مجموعه وصلههای اندرویدی ماه می سال ،۲۰۱۹ مسائل مربوط به اجزای Kernel، اجزای Broadcom، اجزای Qualcomm و اجزای متن بستهی (closed-source) Qualcomm را برطرف میسازد. این آسیبپذیریها در تمامی دستگاههایی که سطح وصلهی امنیتی Android ۲۰۱۹-۰۵-۰۵ را اجرا میکنند، برطرف شدهاند. این نقصها شامل یک اشکال افزایش امتیاز با شدت متوسط در اجزای Kernel، یک مشکل افزایش امتیاز با شدت بالا در اجزای NVIDIA و یک آسیبپذیری اجرای کد راه دور با شدت بالا در اجزای Broadcomm هستند. دو نقص برطرفشده در اجزای Qualcomm از نظر شدت، «بالا» رتبهبندی شدهاند و ۱۵ نقص بطرف شده، مربوط به اجزای متن بستهی Qualcomm هستند که ۴ مورد از آنها بحرانی و ۱۱ مورد دیگر بالا رتبهبندی شدهاند. چهار آسیبپذیری بحرانی در اجزای متنبستهی Qualcomm، با شناسهی CVE-۲۰۱۸-۵۹۱۲، CVE-۲۰۱۸-۱۳۸۹۸، CVE-۲۰۱۹-۲۲۵۵ و CVE-۲۰۱۹-۲۲۵۶ ردیابی میشوند.
همانند چندین ماه گذشته، بولتن بهروزرسانی Pixel برای ماه می سال ۲۰۱۹، شامل هیچگونه وصله امنیتی نیست. هیچ وصله عملکردی نیز برای این دستگاهها منتشر نشدهاست. با این حال، دستگاههای Pixel یک بهروزرسانی دریافت خواهندکرد که اصلاحات مربوط به مسائل بولتن امنیتی ماه می سال ۲۰۱۹ اندروید را ارائه خواهدکرد.
با انتشار بولتنهای امنیتی گوگل، دارندگان گوشیهای Pixel گوگل میتوانند آن را به سرعت دریافت کنند؛ اما دریافت بهروزرسانی امنیتی برای کاربران اندرویدی گوشیهای هوشمند سایر فروشندگان ممکن است چندین ماه طول بکشد. این امر، یک وضعیت گیجکننده و نارضایتمندانه است که گوگل چندین سال است سعی دارد آن را برطرف سازد و اخیراً توضیح دادهاست که چگونه میخواهد این مسائل را در نسخهی بعدی Android (در حال حاضر با عنوان Android Q) بهبود بخشد. در حال حاضر، بهروزرسانی امنیتی Google از طریق سازندگان تلفن همراه، به صورت بهروزرسانیهایی که مختصات عناصر هر مدل و فروشنده را شامل میشود، دریافت میشود. ناگزیر، این امر زمانبر است.
با توجه به جزییات منتشر شده در کنفرانس توسعه Google I/O ۲۰۱۹ و در مصاحبهای با The Verge، پروژه اصلی این شرکت برای Q، یک رویکرد کاملاً متفاوت است که یک لیست از ۱۴ ماژول OS را هوایی (over-the-air) مستقیماً از Play Store بهروزرسانی میکند. این ماژولها عبارتاند از:
• ANGLE
• APK
• ورود به پورتال Captive
• Conscrypt
• برطرفکننده DNS
• Documents UI
• ExtServices
• کدکهای Media
• اجزای Media Framework
• پیکربندی مجوز شبکه
• اجزای شبکهسازی
• کنترلگر مجوز
• دادههای Time zone
• ابردادههای ماژول
به عبارتی دیگر، بهروزرسانی این عناصر، مستقیماً از Google بدون هر گونه واسطی صورت خواهدگرفت.