گوگل آسیب‌پذیری بحرانی اندروید در برابر تصاویر PNG را برطرف کرد

به گزارش وب‌سایت ThreatPost، در اطلاعیه امنیتی ماه فوریه اندروید، گوگل سه آسیب‌پذیری مهم اندروید را رفع کرده است (CVE-۲۰۱۹-۱۹۸۶، CVE-۲۰۱۹-۱۹۸۷ و CVE-۲۰۱۹-۱۹۸۸) که یکی از آ‌ن‌ها مربوط به نقص PNG است. نسخه‌های دارای این مشکل از نسخه ۷,۰ تا نسخه ۹.۰ هستند.

بر اساس این اطلاعیه امنیتی، مهم‌ترین مورد، آسیب‌پذیری بحرانی پلتفرم اندروید است که اجازه اجرای کد دلخواه در بستر یک فرآیند با دسترسی بالا، با استفاده از یک فایل PNG ویژه را برای مهاجم فراهم می‌کند.

مهاجم با بهره‌گیری از این نقص می‌تواند از طریق ارسال یک تصویر تله‌گذاری شده یا فریب‌دادن کاربر به دنبال‌کردن یک پیوند مخرب ارسال‌شده از طریق سرویس پیام‌های تلفن‌همراه، کنترل یک دستگاه اندرویدی آسیب‌پذیر را به‌دست‌بگیرد. گوگل بیان‌کرد که گزارشی مبنی بر سواستفاده از آسیب‌پذیری‌های موجود در اطلاعیه امنیتی فوریه خود دریافت نکرده‌است.

در همین رابطه: گوشی‌های اندروییدی با یک تصویر PNG هک می‌شوند

در مجموع، گوگل ۴۲ راه‌حل امنیتی منتشر کرده که ۳۰ مورد از آن‌ها دارای درجه اهمیت بحرانی هستند. چهار اشکال مربوط به قطعات سخت‌افزاری اندروید ساخت NVIDIA و پنج مورد مربوط به تراشه‌ساز Qualcomm بودند.

انتظار می‌رود شرح مفصلی از شناسه‌ها ومشخصات مربوط به این آسیب‌پذیری‌ها در روزهای آینده منتشر شوند. 

از سوی دیگر، LG روز شنبه شش پَچ(وصله) را برای آسیب‌پذیری‌های مهم هندست‌های خود، همراه با ۲۱ باگ بحرانی و یک باگ با درجه حساسیت متوسط منتشر‌کرد . 

Qualcomm  اطلاعاتی در مورد چندین آسیب‌پذیری موجود در اطلاعیه فوریه منتشرکرد. به عنوان مثال، نقص بحرانی CVE-۲۰۱۸-۱۱۲۸۹ ناشی از یک نقص بافر-کپی در یک تابع تراشه Qualcomm است که در آن، خرابی داده‌ها هنگام تبدیل از نوع بالا به پایین، باعث تخصیص حافظه کمتر نسبت به میزان مطلوب و درنهایت منجر به سرریز بافر می‌شود.