Bản vá lỗi tháng 9/2019 của Android

Google gần đây đã phát hành bản vá bảo mật mới cho nền tảng Android để giải quyết gần 50 lỗ hổng trong nhiều thành phần, bao gồm hai lỗ hổng nghiêm trọng ảnh hưởng đến khung Media (media framework).

Cả hai lỗi bảo mật nghiêm trọng này đều có thể cho phép kẻ tấn công thực thi mã từ xa trên các hệ thống chứa lỗ hổng. Lỗ hổng đầu tiên mang số hiệu CVE-2019-2176 ảnh hưởng tới các phiên bản Android 8.0, 8.1 và 9, trong khi lỗ hổng thứ hai mang số hiệu CVE-2019-2108 ảnh hưởng đến phiên bản Android 10.

Các lỗ hổng nghiêm trọng cao có thể dẫn tới thực thi mã tùy ý từ xa

Google cho biết để khai thác các lỗ hổng nghiêm trọng kể trên, kẻ tấn công từ xa sẽ cần một tệp được thiết kế đặc biệt. Các lỗ hổng khi được khai thác thành công có thể dẫn đến việc thực thi mã tùy ý trong một quy trình đặc quyền.

Tư vấn bảo mật được phát hành bởi Trung tâm bảo mật Internet cũng tiết lộ việc các lỗ hổng này có thể được khai thác thông qua nhiều phương thức khác nhau như email, duyệt web và MMS khi xử lý các tệp phương tiện. Tùy thuộc vào các đặc quyền liên quan đến ứng dụng, kẻ tấn công sau đó có thể cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hay tạo tài khoản mới với đầy đủ quyền người dùng.

Bên cạnh đó, Google cũng đã giải quyết 11 lỗ hổng khác như một phần của cấp độ vá bảo mật 2019-09-01. Tất cả số này đều được đánh giá thuộc “mức độ nghiêm trọng cao”.

Năm trong số những lỗ hổng này tác động tới Framework bao gồm 4 lỗ hổng leo thang đặc quyền và 1 lỗ hổng tiết lộ thông tin. Sáu lỗ hổng còn lại được tìm thấy trong System bao gồm 1 lỗ hổng thực thi mã từ xa, 2 lỗ hổng leo thang đặc quyền và 3 lỗ hổng tiết lộ thông tin.

Phần 2 của bản cập nhật bảo mật Android tháng 9/2019

Các bản sửa lỗi cho 36 lỗ hổng khác đã được đưa vào phần thứ hai của bản cập nhật bảo mật Android tháng 9 năm 2019.

Trong số này có:

  • 2 lỗ hổng leo thang đặc quyền mức độ nghiêm trọng cao ảnh hưởng tới thành phần nhân (kernel component)
  • 2 lỗ hổng leo thang đặc quyền và 1 lỗ hông tiết lộ thông tin ảnh hưởng tới thành phần NVIDIA (NVIDIA component)
  • 17 lỗi nghiêm trọng cao ảnh hưởng tới thành phần Qualcomm (Qualcomm component)
  • 2 lỗ hổng cực kỳ nghiêm trọng cùng 12 lỗ hổng mức độ nghiêm trọng cao ảnh hưởng tới thành phần nguồn đóng Qualcomm (Qualcomm component).

Ngoài các bản vá bảo mật kể trên, Google cũng phát hành các bản sửa lỗi cho hơn 100 lỗ hổng cho các thiết bị được hỗ trợ của Google đã cập nhật lên Android 10.

Các lỗ hổng được vá bao gồm:

  • 1 lỗ hổng leo thang đặc quyền, mức độ nghiêm trọng trung bình trong thành phần Broadcom (Broadcom component)
  • 1 lỗ hổng leo thang đặc quyền và 2 lỗ hổng tiết lộ thông tin, mức độ nghiêm trọng trung bình trong thành phần LG (LG component)
  • 1 lỗ hổng leo thang đặc quyền và 1 lỗ hổng tiết lộ thông tin mức độ nghiêm trọng cao; 28 lỗ hổng leo thang đặc quyền, 1 lỗ hổng từ chối dịch vụ và 11 lỗ hổng tiết lộ thông tin mức độ nghiêm trọng trung bình trong thành phần nhân (kernel component)  
  • 53 lỗ hổng nghiêm trọng trung bình trong thành phần Qualcom (Qualcomm component)
  • 4 lỗ hổng mức độ nghiêm trọng trung bình trong thành phần nguồn đóng Qualcomm (Qualcomm closed-source component)

>> Hơn 400 lỗ hổng được tìm thấy trên WhiteHub Bug Bounty – Nền tảng bảo mật cộng đồng đầu tiên tại Việt Nam giúp kết nối doanh nghiệp với 500+ chuyên gia an ninh mạng, pentester & hacker mũ trắng.

SW

The post Bản vá lỗi tháng 9 năm 2019 của Android khắc phục gần 50 lỗ hổng appeared first on SecurityDaily.