WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Google vá các lỗ hổng có thể khai thác từ xa trên Android
Bản vá Android tháng 5/2019 khắc phục các lỗ hổng thực thi mã từ xa quan trọng
Các bản vá bảo mật được phát hành vào tháng 5 năm 2019 cho hệ điều hành Android, xử lý 8 lỗ hổng nghiêm trọng, bao gồm 4 lỗ hổng thực thi mã từ xa.
Nghiêm trọng nhất là lỗ hổng trên Media framework, có thể bị khai thác từ xa bằng cách sử dụng tệp đặc biệt để thực thi mã tùy ý trong tiến trình có đặc quyền cao (privileged process).
Lỗ hổng CVE-2019-2044 ảnh hưởng đến hệ điều hành Android 7.0,7.1.1, 7.1.2, 8.0, 8.1 và 9, đã được xử lý trên tất cả các thiết bị cập nhật bản vá Android 2019-05-01.
Các lỗ hổng nghiêm trọng khác được xử lý gồm 3 lỗ hổng thực thi mã từ xa trong System (CVE-2019-2045, CVE-20119-2046, và CVE-2019-2047). Các lỗ hổng này ảnh hưởng đến Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 và 9.
Năm lỗ hổng khác được vá trong System tháng này bao gồm 2 lỗi leo thang đặc quyền (CVE-2019-2049 và CVE-2019-2050) và 3 lỗi lộ lọt thông tin (CVE-2019-2051, CVE-2019-2052 và CVE-2019-2053). Tất cả năm lỗ hổng này đều được đánh giá ở mức độ nghiêm trọng cao.
Ngoài ra, theo Google, bản vá an ninh trên Android ngày 1/5/2019 đã vá lỗ hổng leo thang đặc quyền có mức độ nghiêm trọng thấp (CVE-2019-2043) trên Framework.
Cũng theo Google, một số vấn đề trên các thành phần Android Kernel, NVIDIA, Broadcom, Qualcomm … cũng được xử lý.
Cụ thể, các lỗi này bao gồm một lỗ hổng leo thang đặc quyền có mức độ nghiêm trọng thấp trên các thành phần Kernel, một lỗ hổng mức độ nghiêm trọng cao trong các thành phần NVIDIA và lỗ hổng thực thi mã từ xa có rủi ro cao trong các thành phần Broadcom.
Hai lỗ hổng trong thành phần Qualcomm được đánh giá có mức độ nghiêm trọng cao.
Bản cập nhật Pixel tháng 5/2019 không có bản vá bảo mật. Tuy nhiên, các thiết bị Pixel sẽ được update sửa lỗi các vấn đề trên Android.
Nghiêm trọng nhất là lỗ hổng trên Media framework, có thể bị khai thác từ xa bằng cách sử dụng tệp đặc biệt để thực thi mã tùy ý trong tiến trình có đặc quyền cao (privileged process).
Lỗ hổng CVE-2019-2044 ảnh hưởng đến hệ điều hành Android 7.0,7.1.1, 7.1.2, 8.0, 8.1 và 9, đã được xử lý trên tất cả các thiết bị cập nhật bản vá Android 2019-05-01.
Các lỗ hổng nghiêm trọng khác được xử lý gồm 3 lỗ hổng thực thi mã từ xa trong System (CVE-2019-2045, CVE-20119-2046, và CVE-2019-2047). Các lỗ hổng này ảnh hưởng đến Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 và 9.
Năm lỗ hổng khác được vá trong System tháng này bao gồm 2 lỗi leo thang đặc quyền (CVE-2019-2049 và CVE-2019-2050) và 3 lỗi lộ lọt thông tin (CVE-2019-2051, CVE-2019-2052 và CVE-2019-2053). Tất cả năm lỗ hổng này đều được đánh giá ở mức độ nghiêm trọng cao.
Ngoài ra, theo Google, bản vá an ninh trên Android ngày 1/5/2019 đã vá lỗ hổng leo thang đặc quyền có mức độ nghiêm trọng thấp (CVE-2019-2043) trên Framework.
Cũng theo Google, một số vấn đề trên các thành phần Android Kernel, NVIDIA, Broadcom, Qualcomm … cũng được xử lý.
Cụ thể, các lỗi này bao gồm một lỗ hổng leo thang đặc quyền có mức độ nghiêm trọng thấp trên các thành phần Kernel, một lỗ hổng mức độ nghiêm trọng cao trong các thành phần NVIDIA và lỗ hổng thực thi mã từ xa có rủi ro cao trong các thành phần Broadcom.
Hai lỗ hổng trong thành phần Qualcomm được đánh giá có mức độ nghiêm trọng cao.
Bản cập nhật Pixel tháng 5/2019 không có bản vá bảo mật. Tuy nhiên, các thiết bị Pixel sẽ được update sửa lỗi các vấn đề trên Android.
Theo Securityweek