مرکز ماهر اعلام کرد؛
۲۶ آسیبپذیری امنیتی اندروید رفع شد
عصر کالا- گوگل با انتشار وصله امنیتی اندرویدی، انواع آسیبپذیریهایی که به تازگی کشف شده را برطرف کرد. این وصله امنیتی برای تمامی سیستمعاملهای موبایل که اندروید ۹ Pie را اجرا میکنند در دسترس است.
دوشنبه ۲۸ مرداد ۱۳۹۸ - ۱۶:۱۱:۰۰
به گزارش پایگاه خبری«عصر کالا» به نقل از مرکز ماهر، گوگل با انتشار وصله امنیتی اندرویدی ماه اوت 2019، انواع آسیبپذیریهایی که به تازگی کشف شدهاند را برطرف ساخته است. این وصله امنیتی برای تمامی سیستمعاملهای تلفن همراه که اندروید 9 Pie را اجرا میکنند، در دسترس است.
وصله امنیتی ماه اوت سال 2019 اندروید، شامل دو سطح وصله امنیتی 2019-08-01 و 2019-08-05 است که 26 آسیبپذیری موجود در Android runtime، Media framework، Framework و اجزای سیستمی اندروید و همچنین ترکیبات Broadcom و Qualcomm را برطرف میسازد.
شدیدترین آسیبپذیری از میان آسیبپذیریهای رفعشده، یک آسیبپذیری امنیتی بحرانی در اجزای سیستمی است که به مهاجم راهدور اجازه میدهد با استفاده از یک فایل ساختگی خاص PAC، کد دلخواه را در متن یک فرایند ممتاز اجرا سازد. ارزیابی شدت این آسیبپذیری بر اساس تأثیری است که ممکن است سوءاستفاده از آن روی دستگاه آسیبپذیر انجام شود. تاکنون گزارشی مبنی بر سوءاستفاده از این آسیبپذیری منتشر نشده است.
آسیبپذیری موجود در Android runtime با شناسه CVE-2019-2120 ردیابی میشود و از نظر شدت «بالا» رتبهبندی شده است. سوءاستفاده از این آسیبپذیری، به یک مهاجم داخلی اجازه میدهد الزامات تعامل کاربر را جهت دسترسی به مجوزهای بیشتر دور بزند.
در FrameWork، سه آسیبپذیری با شناسههای CVE-2019-2121 با شدت «بالا»، CVE-2019-2122 با شدت «بالا» و CVE-2019-2125 با شدت «متوسط» وجود دارد که در وصله امنیتی ماه اوت برطرف شدهاند.
شدیدترین آسیبپذیری در این بخش، برنامه کاربردی مخرب داخلی را قادر میسازد با استفاده از یک فایل ساختگی خاص کد دلخواه را در متن یک فرایند ممتاز اجرا سازد.
آسیبپذیریهای موجود در Media framework که در وصله امنیتی ماه اوت در سطح وصله امنیتی 2019-08-01 برطرف شدهاند شامل CVE-2019-2126 با شدت «بالا»، CVE-2019-2127 با شدت «بالا»، CVE-2019-2128 با شدت «بالا» و CVE-2019-2129 با شدت «بالا» می شوند. در همین حال شدیدترین آسیب پذیری در این بخش، مهاجم راه دور را قادر میسازد کد دلخواه را با استفاده از یک فایل ساختگی خاص در متن یک فرایند غیرممتاز اجرا سازد.
آسیبپذیریهای موجود در بخش اجزای سیستمی اندروید نیز شامل CVE-2019-2130 با شدت «بحرانی»، CVE-2019-2131 با شدت «بالا»، CVE-2019-2132 با شدت «بالا»، CVE-2019-2133 با شدت «بالا»، CVE-2019-2134 با شدت «بالا»، CVE-2019-2135 با شدت «بالا»، CVE-2019-2136 با شدت «بالا» و CVE-2019-2137 با شدت «بالا» می شود.
شدیدترین آسیبپذیری در این بخش، مهاجم راه دور را قادر می سازد کد دلخواه را با استفاده از یک فایل ساختگی خاص PAC در متن یک فرایند ممتاز، اجرا کند. این آسیبپذیری، شدیدترین آسیبپذیری از میان آسیبپذیریهای رفعشده در این وصله امنیتی است.
آسیبپذیری موجود در اجزای Broadcom، یک آسیبپذیری بحرانی با شناسه CVE-2019-11516 در بخش بلوتوث دستگاه است که مهاجم راهدور را قادر میسازد با استفاده از یک انتقال ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا کند.
آسیبپذیریهای موجود در اجزای Qualcomm عبارتند از:
• CVE-2019-10492 با شدت «بحرانی» در بخش HLOS،
• CVE-2019-10509 با شدت «بالا» در بخش BTHOST،
• CVE-2019-10510 با شدت «بالا» در بخش BTHOST،
• CVE-2019-10499 با شدت «بالا» در بخش MProc،
• CVE-2019-10538 با شدت «بالا» در بخش WLAN.
آسیبپذیریهای موجود در اجزای متنبسته(closed-source) Qualcomm که در وصله امنیتی ماه اوت سال 2019 اندورید برطرف شدهاند شامل CVE-2019-10539 با شدت «بحرانی»، CVE-2019-10540 با شدت «بحرانی»، CVE-2019-10489 با شدت «بالا» و CVE-2019-2294 با شدت «بالا» می شود.
وصله امنیتی ماه اوت سال 2019 اندورید، همچنین رفع نقص امنیتی و بهبودهایی برای تمامی دستگاههای Pixel تحت پشتیبانی، به همراه آورده است. سه آسیبپذیری CVE-2019-10538، CVE-2019-10539 و CVE-2019-10540 که مربوط به اجزای Qualcomm و اجزای متنبسته Qualcomm هستند، در دستگاه Pixel وجود دارند.
یکی از بهبودهای ارائهشده، مربوط به حالت sleep گوشیهای هوشمند Pixel 3a و Pixel 3a XL است. تنظیمات شبکه وایفای برای دستگاههای Pixel، Pixel XL، Pixel 2، Pixel 2 XL، Pixel 3 XL، Pixel 3a XL و همچنین ثبات CaptivePortalLogin وایفای نیز در این وصله امنیتی بهبود یافتهاند.
وصله امنیتی ماه اوت سال 2019، برای تمامی دستگاههای Pixel پشتیبانی شده منتشر شده است و به زودی برای دیگر گوشیهای هوشمند اندرویدی سایر تولیدکنندگان نیز منتشر میشود. لازم است تمامی کاربران در اولین فرصت دستگاههای خود را بهروزرسانی کنند.