Компания Google выпустила обновления безопасности для операционной системы Android, которые устраняют в общей сложности 25 уязвимостей, в том числе 2 критические.
Обе критические уязвимости были обнаружены в системном компоненте Android. Эксплуатация первой уязвимости (CVE-2020-0022) позволяет злоумышленнику с помощью специально сформированной передачи удаленно выполнить произвольный код только на устройствах Android 8.0, 8.1 и 9. В Android 10 эксплуатация уязвимости может привести к вызову состояния отказа в обслуживании. Вторая проблема (CVE-2020-0023) затрагивает только Android 10 и может привести к раскрытию информации. Данные проблемы исправлены на всех устройствах с «уровнем патчей безопасности» («security patch levels») 2020-02-01.
В компоненте System также были исправлены еще четыре опасные уязвимости. Три из них (CVE-2020-0005, CVE-2020-0026 и CVE-2020-0027) представляют собой уязвимости повышения привилегий, затрагивающие Android 8.0, 8.1, 9 и 10, а четвертая (CVE-2020-0028) — раскрытие информации в Android 9.
Семь других проблем были исправлены в компоненте Framework в устройствах с «уровнем патчей безопасности» 2020-02-01. Эксплуатация самых опасных из них позволяет «локальному вредоносному приложению обойти требования взаимодействия с пользователем, чтобы получить доступ к дополнительным разрешениям». К ним относятся три уязвимости повышения привилегий (CVE-2020-0014, CVE-2020-0015 и CVE-2019-2200), три проблемы раскрытия информации (CVE-2020-0017, CVE-2020-0018 и CVE-2020- 0020) и одна DoS-уязвимость (CVE-2020-0021).
В Android также было устранено двенадцать уязвимостей на всех устройствах, работающих с «уровнем патчей безопасности» 2020-02-05. Две из них затрагивают компоненты ядра, шесть — компоненты Qualcomm, а четыре других — компоненты с закрытым исходным кодом Qualcomm.
Все поддерживаемые устройства Google получат обновление до «уровня патчей безопасности» 2020-02-05.
Источник: securitylab.ru