Новый набор заплат для Android закрывает 33 уязвимости, в том числе девять критических. Из последних три содержатся в фреймворке мультимедийных приложений (Media framework), одна — в компоненте уровня System, остальные — в компонентах производства Qualcomm Technologies.
Наибольшую опасность, согласно бюллетеню Google, представляют уязвимости в Media framework (CVE-2019-2106, CVE-2019-2107 и CVE-2019-2109). Они позволяют с помощью особого файла удаленно выполнить любой код в контексте привилегированного процесса.
Критическая уязвимость CVE-2019-2111 в System тоже грозит удаленным исполнением произвольного кода. Она присутствует лишь в Android 9.0, более ранние версии ОС ей не подвержены. Остальные шесть багов, также выявленных в компонентах System, не столь опасны; в случае эксплуатации они позволяют повысить привилегии в системе либо получить доступ к закрытой информации.
Множественные уязвимости в различных компонентах разработки Qualcomm актуальны только для Android-устройств, использующих чипы этого вендора, — в том числе для Pixel. Пять проблем в сторонних проектах признаны критическими:
Наибольшую опасность, согласно бюллетеню Google, представляют уязвимости в Media framework (CVE-2019-2106, CVE-2019-2107 и CVE-2019-2109). Они позволяют с помощью особого файла удаленно выполнить любой код в контексте привилегированного процесса.
Критическая уязвимость CVE-2019-2111 в System тоже грозит удаленным исполнением произвольного кода. Она присутствует лишь в Android 9.0, более ранние версии ОС ей не подвержены. Остальные шесть багов, также выявленных в компонентах System, не столь опасны; в случае эксплуатации они позволяют повысить привилегии в системе либо получить доступ к закрытой информации.
Множественные уязвимости в различных компонентах разработки Qualcomm актуальны только для Android-устройств, использующих чипы этого вендора, — в том числе для Pixel. Пять проблем в сторонних проектах признаны критическими:
- CVE-2019-2308, по словам Google, связана со службой цифровой обработки сигналов;
- CVE-2019-2330 затрагивает ядро, открывая пользовательским приложениям доступ к механизму вызова удаленных процедур;
- CVE-2019-2254, согласно краткому описанию на сайте разработчика, возникла из-за неправильной расшифровки данных GPS и грозит снижением точности при определении местонахождения устройства;
- CVE-2019-2322 вызвана возможностью переполнения буфера при проигрывании нестандартных видеороликов;
- CVE-2019-2327 тоже связана с переполнением буфера при воспроизведении видеоконтента — в данном случае ошибка возникает из-за отсутствия проверки размера входных данных.