В Android исправлено 19 опасных уязвимостей

Самые опасные уязвимости разрешали выполнить произвольный код и повысить привилегии. В понедельник, 7 марта, компания Гугл выпустила исправление безопасности для ОС Android, исправляющее 19 уязвимостей в мобильной ОС. самые опасные уязвимости разрешали выполнить произвольный код с привилегиями ядра совокупности и повысить привилегии.

В компоненте mediaserver были обнаружены две уязвимости (CVE-2016-0815 и CVE-2016-0816), разрешающие скомпрометировать совокупность посредством намерено организованного файла. Эксплуатация неточностей приводит к повреждению памяти и разрешает выполнить произвольный код с привилегиями процесса mediaserver. Отметим, для успешной эксплуатации уязвимостей жертва подобающа загрузить и запустить вредоносный файл. Подобная неточность (CVE-2016-1621) была найдена в библиотеке libvpx.

Успешная эксплуатация уязвимости CVE-2016-0818, найденной в компоненте Conscrypt, разрешает преступнику осуществить атаку «человек посередине». Неточность существует из-за некорректной обработки определенных сертификатов, выпущенных промежуточными центрами сертификации.  Три уязвимости (CVE-2016-0819, CVE-2016-0820 и CVE-2016-0728) существовали из-за неточностей в компонентах Qualcomm Performance, Mediatek Wi-Fi Driver и Kernel Keyring соответственно. Локальное вредоносное приложение может выполнить произвольный код с привилегиями ядра совокупности. Эксплуатация уязвимости CVE-2016-0819 ведет к постоянной компрометации устройства. Для устранения последствий атаки потребуется обновление firmware.

В ядре ОС была обнаружена и исправлена уязвимость (CVE-2016-0821), разрешающая обойти определенные ограничения безопасности. Эксплуатация неточности разрешает преступникам обойти кое-какие меры безопасности, предназначенные для предотвращения осуществления атак.  В драйвере Mediatek Connectivity Kernel Driver была обнаружена уязвимость (CVE-2016-0822), разрешающая локальному приложению выполнить произвольный код с привилегиями ядра совокупности.

Пять уязвимостей (CVE-2016-0823, CVE-2016-0824, CVE-2016-0825, CVE-2016-0828 и CVE-2016-0829) разрешали раскрыть ответственные эти. Неточности существовали из-за некорректной работы некоторых компонентов, включая libstagefright, Widevine и Mediaserver. Две уязвимости (CVE-2016-0826 и CVE-2016-0827) существовали из-за неточностей в компоненте mediaserver и разрешали локальному приложению выполнить произвольный код с повышенными привилегиями.  Другие уязвимости разрешали осуществить DoS-атаку посредством намерено организованных Bluetooth-запросов (CVE-2016-0831) и неавторизованно выполнить сброс устройства до заводских настроек (CVE-2016-0832).  Уязвимости были исправлены в Android 6.0 (версия сборки LMY49H).