چهار آسیب‌پذیری اجرای کد راه‌ دور اندروید با به‌روزرسانی ماه می 2019 گوگل رفع شد

آی‌تی‌من- شدیدترین نقص رفع‌شده در این به‌روزرسانی، یک اشکال بحرانی در Media Framework است که ممکن است از راه دور بااستفاده از یک فایل ساختگی خاص برای اجرای کد دلخواه در محدوده‌ی فرایند مجاز، مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری با شناسه‌ی CVE-2019-2044 ردیابی می‌شود و نسخه‌های 7.0، 7.1.1، 7.1.2، 8.0، 8.1 و 9 از سیستم‌عامل اندروید را تحت‌تأثیر قرار می‌دهد و در تمام دستگاه‌هایی که سطح وصله امنیتی Android 2019-05-01 را اجرا می‌کنند، برطرف شده است.

آسیب‌‌پذیری‌های بحرانی دیگری که در این سطح وصله برطرف شده‌اند شامل 3 نقص اجرای کد راه دور (CVE-2019-2045، CVE-2019-2046 و CVE-2019-2047) در سیستم هستند. این نقص‌ها، نسخه‌های 7.0، 7.1.1، 7.1.2، 8.0، 8.1و 9 از سیستم‌عامل اندروید را تحت‌تأثیر قرار می‌دهند.

پنج آسیب‌‌پذیری دیگری که در به‌روزرسانی ماه می سال 2019 برطرف شده‌اند شامل دو نقص افزایش امتیاز (CVE-2019-2049، CVE-2019-2050) و سه نقص افشای اطلاعات (CVE-2019-2051، CVE-2019-2052 و CVE-2019-2053) هستند. تمامی این پنج آسیب‌پذیری از نظر شدت، «بالا» رتبه‌بندی شده‌اند.

سطح وصله امنیتی Android 2019-05-01 یک نقص افزایش امتیاز با شدت «متوسط» در Framework را نیز برطرف می‌سازد. این نقص که با شناسه‌ی CVE-2019-2043 ردیابی می‌شود، می‌تواند یک برنامه‌ی کاربردی مخرب محلی را قادر سازد نیازمندی‌های تعامل کاربر را به‌منظور دست‌یافتن به مجوزهای بیشتر، دور بزند.

بخش دوم مجموعه وصله‌های اندرویدی ماه می 2019 مسائل مربوط به اجزای Kernel، اجزای Broadcom، اجزای Qualcomm و اجزای closed-source یا متن بسته‌ی Qualcomm را برطرف می‌سازد.

این آسیب‌پذیری‌ها در تمامی دستگاه‌هایی که سطح وصله‌ی امنیتی Android 2019-05-05 را اجرا می‌کنند، برطرف شده‌اند. این نقص‌ها شامل یک اشکال افزایش امتیاز با شدت متوسط در اجزای Kernel، یک مشکل افزایش امتیاز با شدت بالا در اجزای NVIDIA و یک آسیب‌پذیری اجرای کد راه دور با شدت بالا در اجزای Broadcomm هستند. دو نقص برطرف‌شده در اجزای Qualcomm از نظر شدت، «بالا» رتبه‌بندی شده‌اند و 15 نقص برطرف شده، مربوط به اجزای متن بسته‌ی Qualcomm هستند که 4 مورد از آن‌ها بحرانی و 11 مورد دیگر بالا رتبه‌بندی شده‌اند. چهار آسیب‌پذیری بحرانی در اجزای متن‌بسته‌ی Qualcomm، با شناسه‌ی CVE-2018-5912، CVE-2018-13898، CVE-2019-2255 و CVE-2019-2256 ردیابی می‌شوند.

همانند چندین ماه گذشته، بولتین به‌روزرسانی Pixel برای ماه می سال 2019، شامل هیچگونه وصله امنیتی نیست. هیچ وصله‌ی عملکردی نیز برای این دستگاه‌ها منتشر نشده است. با این حال، دستگاه‌های Pixel یک به‌روزرسانی دریافت خواهند کرد که اصلاحات مربوط به مسائل بولتن امنیتی ماه می سال 2019 اندروید را ارائه خواهد کرد.

با انتشار بولتین‌های امنیتی گوگل، دارندگان گوشی‌های Pixel گوگل می‌توانند آن را به سرعت دریافت کنند؛ اما دریافت به‌روزرسانی امنیتی برای کاربران اندرویدی گوشی‌های هوشمند سایر فروشندگان ممکن است چندین ماه طول بکشد. این امر، یک وضعیت گیج‌کننده و نارضایتمندانه است که گوگل چندین سال است سعی دارد آن را برطرف سازد و اخیراً توضیح داده است که چگونه می‌خواهد این مسائل را در نسخه‌ی بعدی Android (در حال حاضر با عنوان Android Q) بهبود بخشد. در حال حاضر، به‌روزرسانی امنیتی Google از طریق سازندگان تلفن همراه، به صورت به‌روزرسانی‌هایی که مختصات عناصر هر مدل و فروشنده را شامل می‌شود، دریافت می‌شود. ناگزیر، این امر زمان‌بر است.

با توجه به جزئیات منتشر شده در کنفرانس توسعه Google I/O 2019 و در مصاحبه‌ای با سایت The Verge، پروژه اصلی این شرکت برای Q، یک رویکرد کاملاً متفاوت است که یک لیست شامل 14 ماژول OS را بصورت over-the-air، مستقیماً از Play Store به‌روزرسانی می‌کند. این ماژول‌ها عبارتند از:
• ANGLE
• APK
• ورود به پورتال Captive
• Conscrypt
• برطرف‌کننده‌ی DNS
• Documents UI
• ExtServices
• کدک‌های Media
• اجزای Media Framework
• پیکربندی مجوز شبکه
• اجزای شبکه‌‌سازی
• کنترل‌گر مجوز
• داده‌‌های Time zone
• ابرداده‌های ماژول

به عبارتی دیگر، به‌روزرسانی این عناصر، مستقیماً از Google، بدون هر گونه واسطی، صورت خواهد گرفت.