WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Google vá các lỗi RCE nghiêm trọng trong hệ điều hành Android
Trong bản tin bảo mật đình kỳ Tháng 4 mới đây, Google công bố phát hành một loạt các bản vá an ninh cho hệ điều hành Android, xử lý hơn 50 lỗ hổng trong đó có 4 lỗi nghiêm trọng trong thành phần hệ thống. Các bản vá sẽ được phân phối đến tất cả các thiết bị chạy phiên bản bảo mật (Security patch level) 2020-04-01 và 2020-04-05.
Ở phiên bản 2020-04-01 hoặc cao hơn, Google vá 4 lỗi nghiêm trọng (CVE-2020-0070, CVE-2020-0071, CVE-2020-0072 và CVE-2020-0073). Tất cả đều có thể dẫn đến thực thi mã từ xa và ảnh hưởng đến các phiên bản Android 8.0, 8.1, 9 và 10.
Theo Google: “Các lỗi nghiêm trọng này trong hệ điều hành có thể cho phép kẻ tấn công từ xa sử dụng file tự tạo để thực thi mã tùy ý với đặc quyền cao”.
Ngoài ra còn có 8 lỗ hổng khác, 6 lỗi trong thành phần Framework (4 lỗi có nguy cơ leo thang đặc quyền, một lỗi tiết lộ thông tin nghiêm trọng cao và một ở mức độ trung bình), 2 lỗi còn lại nằm trong Media framework (đều cho phép leo thang đặc quyền cao).
Ở phiên bản 2020-04-05 có tổng cộng 43 lỗ hổng được vá.
Các lỗi này nằm trong các thành phần như Framework (một lỗi tiết lộ thông tin ở mức nghiêm trọng cao), trong Kernel (3 lỗi có nguy cơ leo thang đặc quyền cao), trong FPC (một có nguy cơ tiết lộ thông tin cao và hai ở mức độ trung bình), trong các thành phần của Qualcomm (một lỗi nghiêm trọng và 5 năm lỗi ở mức cao) và các thành phần mã nguồn đóng (closed-source) của Qualcomm (8 lỗi nghiêm trọng và 22 lỗi có nguy cơ cao).
Google cũng phát hành một bộ bản vá an ninh mới cho các thiết bị Pixel để xử lý tổng 14 lỗ hổng: 2 trong thành phần Kernel, 9 trong thành phần Qualcomm và 3 trong thành phần nguồn đóng của Qualcomm. Tất cả các lỗi này đều được đánh giá ở mức độ trung bình.
Riêng trên các thiết bị của Google, phiên bản an ninh 2020-05-04 trở lên sẽ giúp vá tất cả các lỗ hổng được nêu trong bản tin bảo mật Android Security Bulletin và Pixel Update Bulletin tháng 04/2020.
Ở phiên bản 2020-04-01 hoặc cao hơn, Google vá 4 lỗi nghiêm trọng (CVE-2020-0070, CVE-2020-0071, CVE-2020-0072 và CVE-2020-0073). Tất cả đều có thể dẫn đến thực thi mã từ xa và ảnh hưởng đến các phiên bản Android 8.0, 8.1, 9 và 10.
Theo Google: “Các lỗi nghiêm trọng này trong hệ điều hành có thể cho phép kẻ tấn công từ xa sử dụng file tự tạo để thực thi mã tùy ý với đặc quyền cao”.
Ngoài ra còn có 8 lỗ hổng khác, 6 lỗi trong thành phần Framework (4 lỗi có nguy cơ leo thang đặc quyền, một lỗi tiết lộ thông tin nghiêm trọng cao và một ở mức độ trung bình), 2 lỗi còn lại nằm trong Media framework (đều cho phép leo thang đặc quyền cao).
Ở phiên bản 2020-04-05 có tổng cộng 43 lỗ hổng được vá.
Các lỗi này nằm trong các thành phần như Framework (một lỗi tiết lộ thông tin ở mức nghiêm trọng cao), trong Kernel (3 lỗi có nguy cơ leo thang đặc quyền cao), trong FPC (một có nguy cơ tiết lộ thông tin cao và hai ở mức độ trung bình), trong các thành phần của Qualcomm (một lỗi nghiêm trọng và 5 năm lỗi ở mức cao) và các thành phần mã nguồn đóng (closed-source) của Qualcomm (8 lỗi nghiêm trọng và 22 lỗi có nguy cơ cao).
Google cũng phát hành một bộ bản vá an ninh mới cho các thiết bị Pixel để xử lý tổng 14 lỗ hổng: 2 trong thành phần Kernel, 9 trong thành phần Qualcomm và 3 trong thành phần nguồn đóng của Qualcomm. Tất cả các lỗi này đều được đánh giá ở mức độ trung bình.
Riêng trên các thiết bị của Google, phiên bản an ninh 2020-05-04 trở lên sẽ giúp vá tất cả các lỗ hổng được nêu trong bản tin bảo mật Android Security Bulletin và Pixel Update Bulletin tháng 04/2020.
Theo SecurityWeek