В Android 11 обнаружена критическая ошибка

Обновлено: 29.01.2023

Компания Google выпустила ежемесячный пакет исправлений безопасности для Android, которые устраняют множество уязвимостей, в том числе уязвимость нулевого дня, которая, как считается, активно используется злоумышленниками.

«Есть признаки того, что CVE-2021-1048 может подвергаться ограниченному целенаправленному использованию», — говорится в ноябрьском бюллетене по безопасности Google. Уязвимость нулевого дня, классифицированная как очень опасная, представляет собой ошибку использования после освобождения, находящуюся в компоненте ядра, и может привести к локальному повышению привилегий.

Технический титан не раскрыл никакой дополнительной информации о лазейке в безопасности, предположительно, чтобы дать как можно большему количеству пользователей возможность исправить свои системы и, таким образом, снизить вероятность дальнейшего использования киберпреступниками.

Помимо нулевого дня, ежемесячный обзор исправлений безопасности устраняет еще 38 уязвимостей. Пять лазеек в безопасности были признаны критическими. CVE-2021-0930 и CVE-2021-0918 — это ошибки удаленного выполнения кода, влияющие на системный компонент Android. Самая серьезная уязвимость, затрагивающая системный компонент, потенциально может позволить удаленным злоумышленникам выполнять произвольный код в контексте привилегированного процесса, используя специально созданную передачу

Обнаружено, что еще две критические уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом, а именно CVE-2021-1924 и CVE-2021-1975. Производитель чипов из Сан-Диего предоставляет рейтинг серьезности проблем, влияющих на его компоненты.

«Раскрытие информации через временные и силовые побочные каналы во время возведения мод в степень для RSA-CRT», — говорится в описании компании к бюллетеню по безопасности CVE-2021-1924. Между тем, CVE-2021-1975 описывается как «возможное переполнение кучи из-за неправильной проверки длины домена при анализе ответа DNS».

Пятая и последняя уязвимость, оцененная как критическая, затронула компонент удаленной службы Android TV. Ошибка удаленного выполнения кода, индексированная как CVE-2021-0889, может позволить злоумышленнику, находящемуся в непосредственной близости, тайно подключиться к телевизору и запустить произвольный код без каких-либо привилегий и без необходимости какого-либо взаимодействия с пользователем.

Пользователям следует как можно скорее установить исправление для своих устройств. Уровни исправлений безопасности 2021-011-06 или более поздние должны устранять все уязвимости безопасности, перечисленные в бюллетене по безопасности Android за этот месяц. Если вы не знаете, как проверить уровень исправления безопасности вашего устройства, вы можете обратиться к удобному руководству Google, которое проведет вас через этот процесс.


Февральское обновление безопасности для мобильной ОС Android содержит уязвимость Qualcomm, которая оценивается как критическая, с оценкой CVSS 9,8.

Компания Google исправила 5 критических ошибок в своей операционной системе Android в рамках своего бюллетеня по безопасности за февраль. Двумя уязвимостями были уязвимости удаленного выполнения кода, обнаруженные в мультимедийной среде и системе Android.

Ошибки Qualcomm

Компания Google сообщила о трех дополнительных критических ошибках Qualcomm, которые были исправлены Qualcomm, что является частью отдельного бюллетеня по безопасности. Одна из этих уязвимостей (CVE-2020-11163) имеет рейтинг 9,8 из 10 по Общей системе оценки уязвимостей (CVSS). Ошибка связана с микросхемой беспроводной локальной сети (WLAN), используемой для связи по Wi-Fi.

Компания Google исправила 22 уязвимости в ОС Android, 15 из которых включали ошибки класса повышения привилегий (EOP). Компания Qualcomm устранила еще 22 уязвимости в системе безопасности, которые повлияли на ряд функций устройства, таких как Wi-Fi-радио, камера и дисплеи устройства.

Исправление каденции/раскрытия

Обновления операционной системы Android и микропрограммы чипсета по беспроводной сети будут предоставляться устройствам в течение следующих дней и недель. Собственное семейство устройств Pixel от Google обычно получает обновления в первую очередь, а затем устройства других производителей.

Технические детали исправленных уязвимостей часто не публикуются до тех пор, пока не будет исправлено большинство уязвимых телефонов.

Самая серьезная из критических ошибок в ОС Android — это уязвимость системы безопасности в компоненте Media Framework, которая допускает удаленное выполнение кода (RCE), позволяя удаленному злоумышленнику с помощью специально созданного файла выполнять произвольный код в контексте привилегированный процесс, согласно Google.

Критический рейтинг

Ошибка отслеживается как CVE-2021-0325 и получила «критическую» оценку на Android 8.1 и 9, но «высокую» оценку на Android 10, 11 и 12, прокомментировала компания.

"Оценка серьезности основывается на возможном воздействии, которое использование уязвимости может оказать на уязвимое устройство, при условии, что средства защиты платформы и служб отключены в целях разработки или успешно обойдены", — говорится в бюллетене по безопасности.

>

По словам Google, само исправление будет состоять из двух частей, первая из которых устраняет 20 уязвимостей в ОС Android, а вторая - устраняет 23 уязвимости, обнаруженные в ядре Android и различных компонентах Qualcomm.

Ошибки удаленного выполнения кода

В обновление также включены исправления для двух дополнительных ошибок в Media Framework, одно из которых отслеживается как CVE-2021-0332 и позволяет повысить привилегии на Android 10 и 11.

Еще одна критическая ошибка RCE, CVE-2021-0326, была обнаружена в системном компоненте и может позволить удаленному злоумышленнику использовать «специально созданную передачу для выполнения произвольного кода в контексте привилегированного процесса», согласно Google. Он был обновлен для версий ОС 8.1, 9, 10 и 11.

Возможность EOP

Пять дополнительных уязвимостей, исправленных в обновлении для системы Android, включают возможность EOP и были обновлены для всех версий ОС, начиная с 8.1 и выше, заявила компания.

Обновление также исправляет 10 ошибок, обнаруженных в Android Framework, 9 из которых связаны с EOP и затрагивают различные версии ОС. Согласно бюллетеню, все уязвимости Framework получили «высокий» рейтинг.

Ошибки Qualcomm тоже исправлены

Остальные 3 ошибки в обновлении с рейтингом "критические" затрагивают компоненты Qualcomm в Android. Наиболее серьезная, согласно общедоступной информации, отслеживается как CVE-2020-11272 (оценка CVSS 9,8) и влияет на компонент WLAN.

Qualcomm описывает ошибку как "неправильную проверку индекса массива в модеме данных".

В нем были представлены дополнительные ограниченные сведения, в том числе о том, что злоумышленник может использовать эту ошибку, если он вызовет «переполнение буфера при обновлении параметров ikev2». Обмен ключами через Интернет (IKEv2) – это протокол, используемый для установки сопоставления безопасности в наборе протоколов IPsec, согласно техническому описанию.

Компоненты с закрытым исходным кодом

Две другие — CVE-2020-11163 и CVE-2020-11170 — затронули компоненты Qualcomm с закрытым исходным кодом, найденные в ОС.

Ядро Android, система Google Play и среда выполнения Android получили по одному исправлению в обновлении для устранения ошибок, оцененных соответственно как "высокий".

В январе Google также устранил 43 ошибки в Android, в том числе 2 критические ошибки, одна из которых была обнаружена в системе Android и позволяла удаленным злоумышленникам выполнять произвольный код.

Активно используется

В настоящее время нет никаких доказательств того, что какие-либо уязвимости, исправленные в февральском обновлении, активно эксплуатируются в дикой природе, говорится в сообщении Центра интернет-безопасности (CIS) об обновлении.

CIS рекомендует пользователям Android устанавливать обновления Android, предоставляемые Google или их операторами мобильной связи, на уязвимые системы «немедленно после надлежащего тестирования».

Центр также напомнил пользователям загружать приложения только от надежных поставщиков в Google Play Store, а также избегать посещения ненадежных веб-сайтов или переходов по ссылкам из неизвестных или ненадежных источников.


Бета-версия, хотя и ближе к финальной версии, не означает, что в ней нет ошибок. На самом деле, это скорее призыв к разработчикам и предприимчивым пользователям подвергнуть программное обеспечение обработке, чтобы обнаружить эти ошибки, прежде чем оно, наконец, попадет в руки широкой публики. К сожалению, некоторые неприятные ошибки время от времени появляются, например, некоторые довольно серьезные, которые отговаривают некоторых пользователей даже опробовать первую бета-версию выпуска Android 11 этого года.

Бета-версия сообщает разработчикам, тестировщикам и пользователям, что функции Android 11 более или менее закреплены и что можно начать массовый поиск ошибок. Как выяснили самые первые пользователи Android 11 Beta 1, их ждало довольно много. И это даже не маленькие ошибки.

Один, например, просто зависал и перезагружал телефон при попытке переключения приложений с помощью навигации с помощью жестов, одновременно поворачивая телефон. Это может показаться странным и редким явлением, но сбой есть сбой, и его нужно исправлять в любом случае. Еще одна ошибка, имеющая более широкий эффект, препятствует бесконтактным платежам Google Pay. Уже одно это могло помешать даже некоторым разработчикам вмешаться, учитывая, насколько важным для них может стать Google Pay.

К счастью, компания Google выпустила небольшое обновление для Android 11 Beta 1, метко названное Android 11 Beta 1.5, чтобы быстро решить эти проблемы. Однако в примечаниях к выпуску указано, что сообщения о проблемах с Android Auto по-прежнему сохраняются, но рано или поздно они могут быть исправлены.

В какой-то степени Android 11 больше похож на постепенное улучшение, а не на радикальное обновление, полируя такие области, как безопасность и конфиденциальность, а также адаптируясь к новым мобильным тенденциям, особенно к складным устройствам.Кажется, всеобщая идея заключается в том, чтобы сделать вещи более удобными для пользователей, предоставляя больше возможностей кончикам пальцев, хотя, как и в случае с новым меню кнопки питания, некоторые вещи могли быть переусердствовать в процессе.

Android Logo< бр />

Компания Google исправила критическую уязвимость в системе безопасности Android 12, из-за которой злоумышленники могли получить доступ к целевой конечной точке без вмешательства пользователя.

В своем бюллетене по безопасности Android за февраль 2022 г. компания Google сообщает, что уязвимость, отмеченная как CVE-2021-39675, представляет собой «критическую уязвимость системы безопасности в системном компоненте, которая может привести к удаленному повышению привилегий без необходимости дополнительных привилегий выполнения. ”

Кроме этого, в самом блоге не так много подробностей, однако Регистрация обнаружила изменение на уровне исходного кода в коде беспроводной связи ближнего радиуса действия (NFC) Android, которое заставляет код обеспечивать параметр размера не слишком велик. Издание также подозревает, что Google решил держать все это в секрете, поскольку все еще находится в процессе развертывания исправлений.

Обнаружены дополнительные недостатки

В отличие от iOS, которая представляет собой полностью централизованную операционную систему, где Apple контролирует исправления, у большинства производителей Android есть собственный суббренд ОС, а это означает, что все они должны готовить исправления для своих устройств отдельно. Учитывая, что Google разрабатывает Android, телефоны, произведенные Google (такие как Pixel 6), получат это исправление одними из первых.

Тем не менее, Google уведомляет своих партнеров о недавно обнаруженных уязвимостях за месяц до того, как опубликовать что-либо, поэтому можно с уверенностью предположить, что другие поставщики будут далеко позади, по крайней мере, в отношении своих флагманских моделей.

В объявлении также перечислены пять других критических ошибок, обнаруженных в системном компоненте, которые были исправлены. Сюда входят ошибки повышения привилегий в Android 11 и 12, а также ошибки отказа в обслуживании в Android 10 и 11.

Кроме этого, Google также обнаружила пять серьезных ошибок в компоненте Android Framework, четыре серьезных ошибки в Media Framework и две ошибки MediaProvider, исправленные в обновлениях Google Play.

Чтобы проверить наличие обновлений вручную, пользователи Android могут выбрать "Настройки" > "Обновление ПО" в самом низу меню.

  • Вы также можете ознакомиться с нашим спискомлучших планшетов Androidпрямо сейчас

Сеад — опытный журналист-фрилансер из Сараево, Босния и Герцеговина. Он пишет об ИТ (облако, Интернет вещей, 5G, VPN) и кибербезопасности (программы-вымогатели, утечка данных, законы и правила). За свою более чем десятилетнюю карьеру он писал статьи для многочисленных СМИ, в том числе для Al Jazeera Balkans. Он также провел несколько модулей по написанию контента для Represent Communications.

Читайте также: