04. 05. 2016 19:30

Společnost Google vydala v květnovém bezpečnostním updatu opravu 40 chyb, z nichž 12 bylo označeno jako kritické. Na jejich odhalení se podíleli experti ze společností Google, e2e-assure, C0re Team, FireEye, Qihoo 360, Search-Lab, Tencent, Trend Micro, Alibaba a Baidu. Souběžně přejmenovala tento pravidelný měsíční update na Android Security Bulletin.

Charakteristika zranitelností

Seznam kritických zranitelností obsahuje i další část chyb zabezpečení ve službě Mediaserver, kterou operační systém Android používá k indexaci lokálních multimediálních souborů. Dále obsahuje chyby umožňující eskalaci uživatelských oprávnění v samotném jádře,  Android debuggeru, komponentě Qualcomm TrustZone, ovladačích pro Qualcomm Wi-Fi a pro grafickou kartu NVIDIA.

Dopad zranitelností

Chyby umožňovaly případným útočníkům spouštět škodlivý kód na mobilním zařízení pomocí upraveného multimediálního souboru zaslaného prostřednictvím MMS nebo z webových stránek. Ve svém důsledku tak zneužití chyb může vést k trvalé kompromitaci postižených zařízení.

Řešení

Pokud je pro dané zařízení dostupný update, doporučuje se uživatelům jej neprodleně nainstalovat.

CVE

CVE-2016-2428, CVE-2016-2429, CVE-2016-2430, CVE-2016-2431, CVE-2016-2432, CVE-2015-0569, CVE-2015-0570, CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2437, CVE-2015-1805. CVE-2016-2438, CVE-2016-2060, CVE-2016-2439, CVE-2016-2440, CVE-2016-2441, CVE-2016-2442, CVE-2016-2443, CVE-2015-0571, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446, CVE-2016-2447, CVE-2016-2448, CVE-2016-2449, CVE-2016-2450, CVE-2016-2451, CVE-2016-2452, CVE-2016-2453, CVE-2016-2454.

Odkazy

http://news.softpedia.com/news/google-renames-nexus-security-bulleting-as-android-security-bulletin-503614.shtml
http://www.securityweek.com/google-patches-40-vulnerabilities-android
https://source.android.com/security/bulletin/2016-05-01.html