Июльские патчи для Android исправляют ряд критических RCE-багов

Июльское обновление Android (уровней 2019-07-01 и 2019-07-05) принесло исправления для 33 уязвимостей в самой ОС, библиотеках, фремворках, а также закрытых и открытых компонентах Qualcomm. Среди устраненных проблем были и девять критических RCE-багов.

Согласно официальному Android Security Bulletin, наиболее опасной из всех уязвимостей является баг в Media framework, позволяющий удаленным злоумышленникам выполнить произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

Три из девяти критических RCE-багов были обнаружены именно в Media framework. Так, уязвимости CVE-2019-2106 и CVE-2019-2107 угрожают всем версиям Android, начиная от 7.0 и заканчивая 9.0. Тогда как третья проблема, CVE-2019-2109, в свою очередь, для версии 9.0 угрозы не представляет.

Последний, четвертый критический баг, найденный непосредственно в Android, получил идентификатор CVE-2019-2111 и был обнаружен в самой системе. Эта проблема представляет опасность только пользователям Android 9.0.

Остальные серьезные проблемы касаются компонентов Qualcomm.
Разработчики подчеркивают, что никаких признаков эксплуатации этих брешей третьими лицами обнаружено не было.

CVE Идентификатор Тип Опасность Обновленные версии AOSP
CVE-2019-2106 A-130023983 RCE Критическая 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2107 A-130024844 RCE Критическая 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2109 A-130651570 RCE Критическая 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2019-2111 A-122856181 RCE Критическая 9

Другие устраненные в этом месяце проблемы могут приводить к раскрытию и утечке информации или эскалации привилегий.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.