گوگل 26 آسیبپذیری اندروید را وصله کرد
گوگل در بهروزرسانی امنیتی ماه اوت سال ۲۰۱۹ اندروید ۲۶ آسیبپذیری امنیتی را برطرف کردهاست.
گوگل با انتشار وصله امنیتی اندرویدی ماه اوت ۲۰۱۹، انواع آسیبپذیریهایی را که به تازگی کشف شدهاند، برطرف کردهاست. این وصله امنیتی برای تمامی سیستمعاملهای تلفن همراه که اندروید Pie9 را اجرا میکنند در دسترس است.
وصله امنیتی ماه اوت سال ۲۰۱۹ اندروید، شامل دو سطح وصله امنیتی ۲۰۱۹-۰۸-۰۱ و ۲۰۱۹-۰۸-۰۵ است که ۲۶ آسیبپذیری موجود در Android runtime ،Media framework ،Framework و اجزای سیستمی اندروید و همچنین ترکیبات Broadcom و Qualcomm را برطرف میکند. شدیدترین آسیبپذیری از میان آسیبپذیریهای رفعشده، یک آسیبپذیری امنیتی بحرانی در اجزای سیستمی است که به مهاجم راهدور اجازه میدهد با استفاده از یک فایل ساختگی خاص PAC، کد دلخواه را در متن یک فرایند ممتاز اجرا سازد. ارزیابی شدت این آسیبپذیری بر اساس تأثیری است که سوءاستفاده از آن ممکن است بر روی دستگاه آسیبپذیر داشتهباشد. تاکنون گزارشی مبنی بر سوءاستفاده از این آسیبپذیری منتشر نشدهاست.
آسیبپذیری موجود در Android runtime با شناسه CVE-۲۰۱۹-۲۱۲۰ ردیابی میشود و از نظر شدت «بالا» رتبهبندی شدهاست. سوءاستفاده از این آسیبپذیری به یک مهاجم داخلی اجازه میدهد الزامات تعامل کاربر را جهت دسترسی به مجوزهای بیشتر دور بزند.
در FrameWork، سه آسیبپذیری با شناسههای CVE-۲۰۱۹-۲۱۲۱ با شدت «بالا»، CVE-۲۰۱۹-۲۱۲۲ با شدت «بالا» و CVE-۲۰۱۹-۲۱۲۵ با شدت «متوسط» وجود دارد که در وصلهی امنیتی ماه اوت برطرف شدهاند. شدیدترین آسیبپذیری در این بخش، برنامه کاربردی مخرب داخلی را قادر میسازد بااستفاده از یک فایل ساختگی خاص کد دلخواه را در متن یک فرایند ممتاز اجرا سازد.
آسیبپذیریهای موجود در Media framework که در وصله امنیتی ماه اوت در سطح وصله امنیتی ۲۰۱۹-۰۸-۰۱ برطرف شدهاند عبارتند از CVE-۲۰۱۹-۲۱۲۶ با شدت «بالا»، CVE-۲۰۱۹-۲۱۲۷ با شدت «بالا»، CVE-۲۰۱۹-۲۱۲۸ با شدت «بالا» و CVE-۲۰۱۹-۲۱۲۹ با شدت «بالا». شدیدترین آسیب پذیری در این بخش، مهاجم راه دور را قادر میسازد کد دلخواه را با استفاده از یک فایل ساختگی خاص در متن یک فرایند غیرممتاز اجرا سازد.
آسیبپذیریهای موجود در بخش اجزای سیستمی اندروید عبارتاند از CVE-۲۰۱۹-۲۱۳۰ با شدت «بحرانی»، CVE-۲۰۱۹-۲۱۳۱ با شدت «بالا»، CVE-۲۰۱۹-۲۱۳۲ با شدت «بالا»، CVE-۲۰۱۹-۲۱۳۳ با شدت «بالا»، CVE-۲۰۱۹-۲۱۳۴ با شدت «بالا»، CVE-۲۰۱۹-۲۱۳۵ با شدت «بالا»، CVE-۲۰۱۹-۲۱۳۶ با شدت «بالا» و CVE-۲۰۱۹-۲۱۳۷ با شدت «بالا». شدیدترین آسیبپذیری در این بخش، مهاجم راه دور را قادر می سازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص PAC در متن یک فرایند ممتاز، اجرا کند. این آسیبپذیری، شدیدترین آسیبپذیری از میان آسیبپذیریهای رفعشده در این وصله امنیتی است.
آسیبپذیری موجود در اجزای Broadcom، یک آسیبپذیری بحرانی با شناسه CVE-۲۰۱۹-۱۱۵۱۶ در بخش بلوتوث دستگاه است که مهاجم راهدور را قادر میکند با استفاده از یک انتقال ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا کند.
آسیبپذیریهای موجود در اجزای Qualcomm عبارتاند از:
• CVE-۲۰۱۹-۱۰۴۹۲ با شدت «بحرانی» در بخش HLOS،
• CVE-۲۰۱۹-۱۰۵۰۹ با شدت «بالا» در بخش BTHOST،
• CVE-۲۰۱۹-۱۰۵۱۰ با شدت «بالا» در بخش BTHOST،
• CVE-۲۰۱۹-۱۰۴۹۹ با شدت «بالا» در بخش MProc،
• CVE-۲۰۱۹-۱۰۵۳۸ با شدت «بالا» در بخش WLAN.
آسیبپذیریهای موجود در اجزای متنبسته (closed-source) Qualcomm که در وصله امنیتی ماه اوت سال ۲۰۱۹ اندورید برطرف شدهاند عبارتند از CVE-۲۰۱۹-۱۰۵۳۹ با شدت «بحرانی»، CVE-۲۰۱۹-۱۰۵۴۰ با شدت «بحرانی»، CVE-۲۰۱۹-۱۰۴۸۹ با شدت «بالا» و CVE-۲۰۱۹-۲۲۹۴ با شدت «بالا».
وصله امنیتی ماه اوت سال ۲۰۱۹ اندورید همچنین رفع نقص امنیتی و بهبودهایی برای تمامی دستگاههای Pixel تحت پشتیبانی به همراه آوردهاست. سه آسیبپذیری CVE-۲۰۱۹-۱۰۵۳۸، CVE-۲۰۱۹-۱۰۵۳۹ و CVE-۲۰۱۹-۱۰۵۴۰ که مربوط به اجزای Qualcomm و اجزای متنبسته Qualcomm هستند در دستگاه Pixel وجود دارند.
یکی از بهبودهای ارائهشده، مربوط به حالت sleep گوشیهای هوشمند Pixel ۳a و Pixel ۳a XL است. تنظیمات شبکهی وایفای برای دستگاههای Pixel، Pixel XL، Pixel 2، Pixel 2 XL، Pixel 3 XL، Pixel 3a XL و همچنین ثبات CaptivePortalLogin وایفای نیز در این وصله امنیتی بهبود یافتهاند.
وصله امنیتی ماه اوت سال ۲۰۱۹، برای تمامی دستگاههای Pixel پشتیبانی شده منتشر شدهاست و بهزودی برای دیگر گوشیهای هوشمند اندرویدی سایر تولیدکنندگان نیز منتشر میشود. لازم است تمامی کاربران در اولین فرصت دستگاههای خود را بهروزرسانی کنند.