Компания Google выпустила первое обновление для Android в этом году. Суммарно январский апдейт устраняет 12 уязвимостей, 5 из которых – критические.

Полный перечень исправленных уязвимостей выглядит следующим образом. Найденные проблемы актуальны для Android начиная с версии 4.4 (KitKat) и до версии 6 (Marshmallow).

Уязвимость CVE Серьезность
Удаленное исполнение кода в Mediaserver CVE-2015-6636 Critical
Повышение привилегий в misc-sd driver CVE-2015-6637 Critical
Повышение привилегий в Imagination Technologies driver CVE-2015-6638 Critical
Повышение привилегий в Trust Zone CVE-2015-6639 Critical
Повышение привилегий в Kernel CVE-2015-6640 Critical
Повышение привилегий в Bluetooth CVE-2015-6641 High
Утечка данных в Kernel CVE-2015-6642 High
Повышение привилегий в Setup Wizard CVE-2015-6643 Moderate
Повышение привилегий в Wi-Fi CVE-2015-5310 Moderate
Утечка данных в Bouncy Castle CVE-2015-6644 Moderate
DoS в SyncManager CVE-2015-6645 Moderate
Атака Surface Reduction на Nexus Kernels CVE-2015-6646 Moderate

 

Наиболее серьезной уязвимостью из всех обнаруженных является очередная брешь в Mediaserver (CVE-2015-6636). Атакующий может спровоцировать нарушение целостности информации в оперативной памяти, а затем осуществить удаленное исполнение произвольного кода на пораженном устройстве. Для проведения атаки злоумышленнику понадобится вредоносный медиафайл, который может быть доставлен на устройство жертвы посредством email, MMS-сообщения или через веб-страницу. Перед багом уязвимы Android 5.0, 5.1.1, 6.0 и 6.0.1.

Судя по всему, масштаб новой проблемы практически аналогичен нашумевшей уязвимости Stagefright, обнаруженной летом 2015 года. А Stagefright представляла угрозу для миллиарда Android-девайсов во всем мире.

Все четыре оставшихся критических уязвимости позволяют сторонним приложениям повышать привилегии в системе, что в итоге может привести к получению root-доступа к устройству. Если подобная атака будет успешно осуществлена, избавиться от малвари будет крайне проблематично – поможет только полная перепрошивка устройства.

Напомню, что Google выпускает обновления только для собственных устройств Nexus. Патчи для других девайсов – на совести их производителей. Google сообщила, что полная информация об исправлениях была передана компаниям-патнерам 7 декабря 2015 года, но когда именно они выпустят свои версии «заплаток», неизвестно.

Фото: JD Hancock



Оставить мнение