Google a abordat defectele critice de severitate avansată și critice legate de 54 de CVE (Common Vulnerabilities and Exposures) în buletinul de securitate Android din această lună.

Compania a lansat patch-uri care abordează o problemă de severitate avansată în componenta sa Framework, care, dacă este exploatată, ar putea permite executarea de la distanță a codului (Remote Code Execution – RCE) pe dispozitivele mobile ce rulează pe platforma Android.

În total, 54 de defecte de înaltă severitate au fost corectate în cadrul actualizărilor de securitate Google publicate la începutul acestei săptămâni pentru sistemul de operare Android. Ca parte a acestei actualizări, Qualcomm, ale cărui cipuri sunt utilizate în dispozitivele ce rulează Android, a corectat mai multe tipuri de vulnerabilități de severitate avansată și critice legate de 31 de CVE.

Eroarea RCE, cea mai gravă dintre aceste erori, există în Android Framework, care este un set de API-uri – constând din instrumente de sistem și instrumente de proiectare a interfeței utilizatorului – care permit dezvoltatorilor să scrie rapid și ușor aplicații pentru telefoanele Android.

Eroarea (CVE-2020-0240) „ar putea permite unui atacator de la distanță să folosească un fișier special conceput pentru a executa cod arbitrar în contextul unui proces neprivilegiat”, potrivit buletinului de securitate Google. A fost adresată dispozitivelor care rulează pe versiunea 10 a sistemului de operare Android.

Alte erori de severitate avansată din Framework includ două vulnerabilități de ”Elevation of Privilege” (EoP) (CVE-2020-0238 și CVE-2020-0257), trei probleme de dezvăluire a informațiilor (CVE-2020-0239, CVE-2020-0249 și CVE-2020-0258) și o eroare de ”Denial of Service” (DoS) (CVE-2020-0247).

De asemenea, Google a lansat corecții pentru trei defecte de severitate avansată în cadrul Android Media, care include suport pentru redarea unei multitudini de tipuri media, astfel încât utilizatorii să poată utiliza cu ușurință audio, video și imagini. Problemele (CVE-2020-0241, CVE-2020-0242, CVE-2020-0243) sunt erori EoP.

De asemenea, au fost remediate patru defecte de severitate avansată în zona de sistem a Android, inclusiv două probleme EoP (CVE-2020-0108 și CVE-2020-0256) și două probleme de dezvăluire a informațiilor (CVE-2020-0248 și CVE-2020-0250). Acestea „ar putea permite unei aplicații locale rău intenționate să ocolească cerințele de interacțiune cu utilizatorul pentru a avea acces la permisiuni suplimentare”, potrivit Google.

Mai multe detalii legate de corecțiile aduse de Google în buletinul din luna august puteți afla în articolul publicat de Threatpost.com.