گوگل یک آسیبپذیری بحرانی موجود در نسخهی فعلی و قدیمی سیستمعامل اندروید خود که به مهاجم اجازه ارسال یک فایل عکس با پسوند PNG. با ساختار خاص به دستگاه هدف و اجرای کد دلخواه را میدهد، رفع کرد.
به
گزارش وبسایت ThreatPost، در اطلاعیه امنیتی ماه فوریه اندروید، گوگل سه آسیبپذیری مهم اندروید را رفع کرده است (CVE-۲۰۱۹-۱۹۸۶، CVE-۲۰۱۹-۱۹۸۷ و CVE-۲۰۱۹-۱۹۸۸) که یکی از آنها مربوط به نقص PNG است. نسخههای دارای این مشکل از نسخه ۷,۰ تا نسخه ۹.۰ هستند.
بر اساس این اطلاعیه امنیتی، مهمترین مورد، آسیبپذیری بحرانی پلتفرم اندروید است که اجازه اجرای کد دلخواه در بستر یک فرآیند با دسترسی بالا، با استفاده از یک فایل PNG ویژه را برای مهاجم فراهم میکند.
مهاجم با بهرهگیری از این نقص میتواند از طریق ارسال یک تصویر تلهگذاری شده یا فریبدادن کاربر به دنبالکردن یک پیوند مخرب ارسالشده از طریق سرویس پیامهای تلفنهمراه، کنترل یک دستگاه اندرویدی آسیبپذیر را بهدستبگیرد. گوگل بیانکرد که گزارشی مبنی بر سواستفاده از آسیبپذیریهای موجود در اطلاعیه امنیتی فوریه خود دریافت نکردهاست.
در همین رابطه: گوشیهای اندروییدی با یک تصویر PNG هک میشوند
در مجموع، گوگل ۴۲ راهحل امنیتی منتشر کرده که ۳۰ مورد از آنها دارای درجه اهمیت بحرانی هستند. چهار اشکال مربوط به قطعات سختافزاری اندروید ساخت NVIDIA و پنج مورد مربوط به تراشهساز Qualcomm بودند.
انتظار میرود شرح مفصلی از شناسهها ومشخصات مربوط به این آسیبپذیریها در روزهای آینده منتشر شوند.
از سوی دیگر، LG روز شنبه شش پَچ(وصله) را برای آسیبپذیریهای مهم هندستهای خود، همراه با ۲۱ باگ بحرانی و یک باگ با درجه حساسیت متوسط منتشرکرد .
Qualcomm اطلاعاتی در مورد چندین آسیبپذیری موجود در اطلاعیه فوریه منتشرکرد. به عنوان مثال، نقص بحرانی CVE-۲۰۱۸-۱۱۲۸۹ ناشی از یک نقص بافر-کپی در یک تابع تراشه Qualcomm است که در آن، خرابی دادهها هنگام تبدیل از نوع بالا به پایین، باعث تخصیص حافظه کمتر نسبت به میزان مطلوب و درنهایت منجر به سرریز بافر میشود.