Google публикува месечните си корекции за сигурност за Android с поправки за 39 недостатъка, включително уязвимост от 0-Day, която според тях се използва свободно в интернет пространството при целенасочени атаки.
Проследена като CVE-2021-1048, грешката с 0-Day се описва като уязвимост без употреба в ядрото, която може да бъде използвана за ескалация на локални привилегии. Проблемите след безплатна употреба са опасни, тъй като могат да позволят на заплахата да получи достъп до паметта или да се свърже с нея, след като тя е била освободена, което води до състояние „write-what-where“, което довежда до изпълнение на произволен код за получаване на контрол върху системата на жертвата.
„Има индикации, че CVE-2021-1048 може да бъде ограничена с целенасочена експлоатация“, отбелязва компанията в своето уведомление през месец Ноември, без да разкрива технически подробности за уязвимостта, естеството на проникванията и самоличността на нападателите, които може да са злоупотребили с недостатъкът.
Също така в корекцията на сигурността са отстранени две критични уязвимости при отдалечено изпълнение на код (RCE) — CVE-2021-0918 и CVE-2021-0930 — в компонента на системата, които могат да позволят на отдалечени нападатели да изпълняват злонамерен код в контекста на привилегирован процес от изпращане на специално изработено предаване до целеви устройства.
Още два критични недостатъка, CVE-2021-1924 и CVE-2021-1975, засягат компонентите на Qualcomm със затворен код, докато петата критична уязвимост в Android TV (CVE-2021-0889) може да позволи на атакуващия в непосредствена близост да се сдвои безшумно с телевизор и изпълнява произволен код, без да се изискват привилегии или взаимодействие с потребителя.
С последния кръг от актуализации Google се е справил с общо шест 0-Days в Android от началото на годината
- CVE-2020-11261 (CVSS score: 8.4) – Improper input validation in Qualcomm Graphics component
- CVE-2021-1905 (CVSS score: 8.4) – Use-after-free in Qualcomm Graphics component
- CVE-2021-1906 (CVSS score: 6.2) – Detection of error condition without action in Qualcomm Graphics component
- CVE-2021-28663 (CVSS score: 8.8) – Mali GPU Kernel Driver allows improper operations on GPU memory
- CVE-2021-28664 (CVSS score: 8.8) – Mali GPU Kernel Driver elevates CPU RO pages to writable
Повече информация може да намерите на следния интернет адрес: