Компания Google выпустила первое обновление для Android в этом году. Суммарно январский апдейт устраняет 12 уязвимостей, 5 из которых – критические.
Полный перечень исправленных уязвимостей выглядит следующим образом. Найденные проблемы актуальны для Android начиная с версии 4.4 (KitKat) и до версии 6 (Marshmallow).
| Уязвимость | CVE | Серьезность |
| Удаленное исполнение кода в Mediaserver | CVE-2015-6636 | Critical |
| Повышение привилегий в misc-sd driver | CVE-2015-6637 | Critical |
| Повышение привилегий в Imagination Technologies driver | CVE-2015-6638 | Critical |
| Повышение привилегий в Trust Zone | CVE-2015-6639 | Critical |
| Повышение привилегий в Kernel | CVE-2015-6640 | Critical |
| Повышение привилегий в Bluetooth | CVE-2015-6641 | High |
| Утечка данных в Kernel | CVE-2015-6642 | High |
| Повышение привилегий в Setup Wizard | CVE-2015-6643 | Moderate |
| Повышение привилегий в Wi-Fi | CVE-2015-5310 | Moderate |
| Утечка данных в Bouncy Castle | CVE-2015-6644 | Moderate |
| DoS в SyncManager | CVE-2015-6645 | Moderate |
| Атака Surface Reduction на Nexus Kernels | CVE-2015-6646 | Moderate |
Наиболее серьезной уязвимостью из всех обнаруженных является очередная брешь в Mediaserver (CVE-2015-6636). Атакующий может спровоцировать нарушение целостности информации в оперативной памяти, а затем осуществить удаленное исполнение произвольного кода на пораженном устройстве. Для проведения атаки злоумышленнику понадобится вредоносный медиафайл, который может быть доставлен на устройство жертвы посредством email, MMS-сообщения или через веб-страницу. Перед багом уязвимы Android 5.0, 5.1.1, 6.0 и 6.0.1.
Судя по всему, масштаб новой проблемы практически аналогичен нашумевшей уязвимости Stagefright, обнаруженной летом 2015 года. А Stagefright представляла угрозу для миллиарда Android-девайсов во всем мире.
Все четыре оставшихся критических уязвимости позволяют сторонним приложениям повышать привилегии в системе, что в итоге может привести к получению root-доступа к устройству. Если подобная атака будет успешно осуществлена, избавиться от малвари будет крайне проблематично – поможет только полная перепрошивка устройства.
Напомню, что Google выпускает обновления только для собственных устройств Nexus. Патчи для других девайсов – на совести их производителей. Google сообщила, что полная информация об исправлениях была передана компаниям-патнерам 7 декабря 2015 года, но когда именно они выпустят свои версии «заплаток», неизвестно.
Фото: JD Hancock
