Η Google ανακοίνωσε την επιδιόρθωση 138 ευπαθειών στην πλατφόρμα του Android, 11 εκ των οποίων χαρακτηρίζονται ως ύψιστης κρισιμότητας (Critical), καθώς μπορούν να αξιοποιηθούν για την απομακρυσμένη εκτέλεση κώδικα στις ευπαθείς συσκευές.
Στο σχετικό Android Security Βulletin που κυκλοφόρησε, οι ευπάθειες κατατάσσονται σε δύο βασικές κατηγορίες:
Η πρώτη περιλαμβάνει τα τρωτά σημεία που επηρεάζουν την πλατφόρμα του Andrοid και τα επιμέρους components (οπότε και επηρεάζουν καθολικά τους χρήστες) ενώ η δεύτερη τα κενά ασφάλειας που σχετίζονται με συγκεκριμένες συσκευές και components τρίτων κατασκευαστών.
Στην πρώτη κατηγορία περιλαμβάνονται συνολικά 43 κενά ασφάλειας: 10 τρωτά σημεία ύψιστης κρισιμότητας (Critical), 28 υψηλής κρισιμότητας (High) και 5 μέτριας κρισιμότητας (Moderate).
To μεγαλύτερο μέρος των ευπαθειών εντοπίζεται στο Media Framework component του Android. Η Google κατάφερε να επιλύσει 12 σφάλματα απομακρυσμένης εκτέλεσης κώδικα (RCE), 1 σφάλμα κλιμάκωσης προνομίων (EoP), 12 σφάλματα άρνησης εξυπηρέτησης (DoS) και 2 ελαττώματα που επέτρεπαν την γνωστοποίηση πληροφοριών (ID).
“Το πιο σοβαρό από αυτά τα ζητήματα είναι μια κρίσιμη ευπάθεια ασφαλείας στο media framework που θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να χρησιμοποιήσει ένα ειδικά κατασκευασμένο αρχείο για την εκτέλεση αυθαίρετου κώδικα, μέσω ενός privileged process”, σημειώνει η Google.
Μεταξύ των επηρεαζόμενων components είναι τα Runtime (RCE), Android Framework (EoP, ID και DoS), Libraries (RCE και DoS) και System UI (RCE και EoP).
[su_note note_color=”#f5f49b” text_color=”#494134″ radius=”1″]Στις επηρεαζόμενες εκδόσεις του Android συμπεριλαμβάνονται τα Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 και 7.1.2 [/su_note]
Η δεύτερη κατηγορία ευπαθειών, σχετίζεται με συγκεκριμένες συσκευές, drivers και components τρίτων κατασκευαστών και περιλαμβάνει συνολικά 95 ευπάθειες: 1 ευπάθεια κρίσιμης σοβαρότητας (Critical), 66 υψηλού κινδύνου (Ηigh), 27 μετρίου κινδύνου (Μοderate) και 1 χαμηλού κινδύνου (Low).
Τα components μη ανοιχτού κώδικα της Qualcomm επηρεάζονται περισσότερο, καθώς εντοπίστηκαν 55 ευπάθειες υψηλής σοβαρότητας (Ηigh) σε αυτά.
Από τα υπόλοιπα 40 τρωτά σημεία, 25 αφορούν και πάλι components της Qualcomm: 7 υψηλής σοβαρότητας (Ηigh) και 18 μέτριας σοβαρότητας. 22 από τα ελαττώματα αυτά μπορούν να αξιοποιηθούν για κλιμάκωση προνομίων, ενώ τα υπόλοιπα για τη διαρροή πληροφοριών.
Τέλος, μεταξύ των λοιπών επηρεαζόμενων components, περιλαμβάνονται components της Broadcom (1 κρίσιμο RCE και 2 EoP), της HTC (1 EoP και 2 ID), της MediaTek (1 EoP), της NVIDIA 1 EoP και 1 ID), καθώς και Kernel components (4 EoP, 1 DoS και 1 ID). Η πλήρης λίστα μπορεί να βρεθεί εδώ.
