Хакер #305. Многошаговые SQL-инъекции
Разработчики Google представили апрельское обновление для устройств Nexus. Суммарно кумулятивный апдейт устраняет 39 различных уязвимостей, среди которых вновь присутствует критическая уязвимость в mediaserver. То есть Google снова патчит Stagefright.
Из 39 исправленных уязвимостей 15 получили статус критических и среди них 8 новых проблем в mediaserver и библиотеке libstagefright. Все они допускают удаленное исполнение произвольного кода (RCE). Эксплуатировать проблему Stagefright по-прежнему можно при помощи вредоносного медиафайла, и если атака пройдет успешно, злоумышленник получит доступ на уровне ядра системы.
Помимо очередных надстроек, которые должны спасти пользователей от Stagefright, разработчики устранили неприятную уязвимость CVE-2015-1805, о которой в марте 2016 года рассказали специалисты компании Zimperium. Данная проблема в ядре Linux была замечена еще в 2014 году, и в Linux уязвимость устранили довольно оперативно. Однако устройства на базе Android, использующие Linux версий 3.4, 3.10 и 3.14, тогда патчей не получили и всё это время оставались в зоне риска. В апрельском обновлении брешь наконец-то закрыли.
Также критические исправления получили компоненты DHCPCD, Media Codec, Qualcomm Performance Module, Qualcomm RF и само ядро Android.