Kritické chyby v Androidu umožňují napadení prostřednictvím PNG obrázku

13. 2. 2019 v sekci Článek

Google se potýkal s dalším vážným problémem, který se objevil v operačním systému Android. Kritická zranitelnost umožňuje útočníkům spouštět libovolné kódy v zařízení prostřednictvím speciálně upraveného PNG obrázku, který nic netušící uživatel pouze otevře.

 

Tři zranitelnosti, CVE-2019-1986, CVE-2019-1987 a CVE-2019-1988, se týkají milionů zařízení s Androidem, a to od verze 7.0 Nougat až po poslední Android 9.0 Pie. Google o problému informoval prostřednictvím platformy Android Open Source Project (AOSP) v únorovém bezpečnostním bulletinu.

A opět přichází důvěrně známá situace, kdy Google sice informoval o zranitelnostech, avšak je na každém z výrobců, kteří Android využívají ve svých zařízeních, aby zajistil distribuci bezpečnostních patchů. Jak jsme se už opakovaně přesvědčili, toto není běžná praxe, kterou by všichni výrobci prováděli automaticky.

Výzkumníci z Googlu neposkytli bližší technické detaily o zmíněných zranitelnostech, technologický gigant pouze uvedl, že bezpečnostní updaty by měly řešit „zahlcení bufferu“, „chyby v SkPngCodecu“ a zranitelnosti v určitých komponentách, které renderují PNG obrázky.

Podle bezpečnostního doporučení Googlu jde o kritické zranitelnosti nacházející se v rozhraní, kde mohou být zneužity prostřednictvím speciálně upravených PNG obrázků, které mohou na zařízení spouštět libovolný kód s privilegovanými právy. Útočník by tak tuto chybu mohl zneužít k podstrčení škodlivého obrázku, který by stačilo oběti zaslat přes kterýkoliv messenger, e-mailovou aplikaci atp. Dobrou zprávou je, že se o zranitelnostech mluví pouze v rovině teorie a zatím není známo, že by někdo tyto chyby zneužil k nějakému typu útoku.

Kromě CVE-2019-1986, CVE-2019-1987 a CVE-2019-1988 ještě Google v únorovém bulletinu upozornil na 11 kritických zranitelností v operačním systému Android. Celkový počet chyb, se kterými se společnost v souvislosti s Androidem potýkala, je podle zprávy 42, z čehož 30 bylo hodnoceno jako vysoce závažné. Opraveny byly 4 chyby související s komponentami vyráběnými Nvidií a patche se dočkaly také čtyři zranitelnosti v čipech od Qualcommu.

Zdrojové kódy patchů byly uvolněny do repositáře Android Open Source Project a prolinkovány přímo z bulletinu, kde jsou k dispozici také odkazy na patche mimo AOSP.

Zdroj: Security Affairs, AOSP






Tento web používá cookies. Více informací ROZUMÍM