چهار آسیبپذیری اجرای کد راه دور اندروید با بهروزرسانی ماه می 2019 گوگل رفع شد
تاریخ انتشار
چهارشنبه ۱ خرداد ۱۳۹۸ ساعت ۰۷:۳۵
آیتیمن- شدیدترین نقص رفعشده در این بهروزرسانی، یک اشکال بحرانی در Media Framework است که ممکن است از راه دور بااستفاده از یک فایل ساختگی خاص برای اجرای کد دلخواه در محدودهی فرایند مجاز، مورد سوءاستفاده قرار گیرد. این آسیبپذیری با شناسهی CVE-2019-2044 ردیابی میشود و نسخههای 7.0، 7.1.1، 7.1.2، 8.0، 8.1 و 9 از سیستمعامل اندروید را تحتتأثیر قرار میدهد و در تمام دستگاههایی که سطح وصله امنیتی Android 2019-05-01 را اجرا میکنند، برطرف شده است.
آسیبپذیریهای بحرانی دیگری که در این سطح وصله برطرف شدهاند شامل 3 نقص اجرای کد راه دور (CVE-2019-2045، CVE-2019-2046 و CVE-2019-2047) در سیستم هستند. این نقصها، نسخههای 7.0، 7.1.1، 7.1.2، 8.0، 8.1و 9 از سیستمعامل اندروید را تحتتأثیر قرار میدهند.
پنج آسیبپذیری دیگری که در بهروزرسانی ماه می سال 2019 برطرف شدهاند شامل دو نقص افزایش امتیاز (CVE-2019-2049، CVE-2019-2050) و سه نقص افشای اطلاعات (CVE-2019-2051، CVE-2019-2052 و CVE-2019-2053) هستند. تمامی این پنج آسیبپذیری از نظر شدت، «بالا» رتبهبندی شدهاند.
سطح وصله امنیتی Android 2019-05-01 یک نقص افزایش امتیاز با شدت «متوسط» در Framework را نیز برطرف میسازد. این نقص که با شناسهی CVE-2019-2043 ردیابی میشود، میتواند یک برنامهی کاربردی مخرب محلی را قادر سازد نیازمندیهای تعامل کاربر را بهمنظور دستیافتن به مجوزهای بیشتر، دور بزند.
بخش دوم مجموعه وصلههای اندرویدی ماه می 2019 مسائل مربوط به اجزای Kernel، اجزای Broadcom، اجزای Qualcomm و اجزای closed-source یا متن بستهی Qualcomm را برطرف میسازد.
این آسیبپذیریها در تمامی دستگاههایی که سطح وصلهی امنیتی Android 2019-05-05 را اجرا میکنند، برطرف شدهاند. این نقصها شامل یک اشکال افزایش امتیاز با شدت متوسط در اجزای Kernel، یک مشکل افزایش امتیاز با شدت بالا در اجزای NVIDIA و یک آسیبپذیری اجرای کد راه دور با شدت بالا در اجزای Broadcomm هستند. دو نقص برطرفشده در اجزای Qualcomm از نظر شدت، «بالا» رتبهبندی شدهاند و 15 نقص برطرف شده، مربوط به اجزای متن بستهی Qualcomm هستند که 4 مورد از آنها بحرانی و 11 مورد دیگر بالا رتبهبندی شدهاند. چهار آسیبپذیری بحرانی در اجزای متنبستهی Qualcomm، با شناسهی CVE-2018-5912، CVE-2018-13898، CVE-2019-2255 و CVE-2019-2256 ردیابی میشوند.
همانند چندین ماه گذشته، بولتین بهروزرسانی Pixel برای ماه می سال 2019، شامل هیچگونه وصله امنیتی نیست. هیچ وصلهی عملکردی نیز برای این دستگاهها منتشر نشده است. با این حال، دستگاههای Pixel یک بهروزرسانی دریافت خواهند کرد که اصلاحات مربوط به مسائل بولتن امنیتی ماه می سال 2019 اندروید را ارائه خواهد کرد.
با انتشار بولتینهای امنیتی گوگل، دارندگان گوشیهای Pixel گوگل میتوانند آن را به سرعت دریافت کنند؛ اما دریافت بهروزرسانی امنیتی برای کاربران اندرویدی گوشیهای هوشمند سایر فروشندگان ممکن است چندین ماه طول بکشد. این امر، یک وضعیت گیجکننده و نارضایتمندانه است که گوگل چندین سال است سعی دارد آن را برطرف سازد و اخیراً توضیح داده است که چگونه میخواهد این مسائل را در نسخهی بعدی Android (در حال حاضر با عنوان Android Q) بهبود بخشد. در حال حاضر، بهروزرسانی امنیتی Google از طریق سازندگان تلفن همراه، به صورت بهروزرسانیهایی که مختصات عناصر هر مدل و فروشنده را شامل میشود، دریافت میشود. ناگزیر، این امر زمانبر است.
با توجه به جزئیات منتشر شده در کنفرانس توسعه Google I/O 2019 و در مصاحبهای با سایت The Verge، پروژه اصلی این شرکت برای Q، یک رویکرد کاملاً متفاوت است که یک لیست شامل 14 ماژول OS را بصورت over-the-air، مستقیماً از Play Store بهروزرسانی میکند. این ماژولها عبارتند از:
• ANGLE
• APK
• ورود به پورتال Captive
• Conscrypt
• برطرفکنندهی DNS
• Documents UI
• ExtServices
• کدکهای Media
• اجزای Media Framework
• پیکربندی مجوز شبکه
• اجزای شبکهسازی
• کنترلگر مجوز
• دادههای Time zone
• ابردادههای ماژول
به عبارتی دیگر، بهروزرسانی این عناصر، مستقیماً از Google، بدون هر گونه واسطی، صورت خواهد گرفت.
مرجع : مرکز ماهر