Безопасности Android бюллетеня июня 2018: что нужно знать

Безопасности Android бюллетеня июня 2018: что нужно знать

RedGirl
Новости

Изображение: Джек Уоллен

Июня сваливаю все на месте. Цветы цветут, деревья распускания листьев, пчел-опылителей, и жуки ползут. Конечно, Android не застрахован от взрыва багов. С июня бюллетеня безопасности прочной баланс критических и высокой уязвимости, что может или не может удивить вас. Давайте погрузимся в этот бюллетень, чтобы посмотреть, что к чему.

Прежде чем мы погрузимся В что входит в бюллетене за этот месяц, это всегда хорошо, чтобы знать, что релиз безопасности установлен на вашем устройстве. Неудивительно, что мой ежедневный водитель, эфирное РН-1, запущен последний патч безопасности (5 июня 2018 года). Чтобы выяснить, какой патч уровне вы работаете, откройте настройки и перейдите в раздел о телефоне. Прокрутите вниз, пока не увидите андроид обновления для системы безопасности уровень (Рисунок a).

Рис

Необходимые РН-1 всегда имеет исправления безопасности до-до-даты.

Терминология

Вы найдете различные типы перечисленных уязвимостей. Возможные типы включают:

  • РПП—удаленное выполнение кода
  • Эоп—повышение привилегий
  • ИД—раскрытие информации
  • В DOS—отказ в обслуживании

См.: Информационная безопасность инцидентах политики (техник про исследования)

И теперь, на вопросы.

Уровень обновления безопасности 2018-06-01

Критические вопросы

Есть только 6 уязвимостей отмечены как критические по 01 июня. Он должен прийти, как не удивительно, что половина из них находятся в рамках СМИ. Эти РПП уязвимостей отмечены как критические, поскольку они могут позволить удаленному злоумышленнику, используя вредоносный файл, чтобы выполнить произвольный код в контексте привилегированного процесса. Соответствующие ошибки (перечислены уязвимости cve и номер):

  • УЯЗВИМОСТЬ CVE-2018-9341А-74016277
  • УЯЗВИМОСТЬ CVE-2018-5146 В-77284393*
  • УЯЗВИМОСТЬ CVE-2017-13230А-65483665

Оставшиеся 3 критические уязвимости были связаны с системой, и такого же типа, что вопросы, затрагивающие Основы СМИ (РПП). Это означает, что эти уязвимости помечены как критические, поскольку они могут позволить удаленному злоумышленнику, используя вредоносный файл, чтобы выполнить произвольный код в контексте привилегированного процесса. Связанные ошибки (перечислены уязвимости cve и номер):

Высокое Вопросов

Далее идет уязвимостей помечены как высоко на 01 июня. Существуют 14 таких вопросах, связанных с применением трех различных систем. Первые влияют на Платформы Android. Эти вопросы обозначены высоко, потому что они позволяют локально установленное вредоносное приложение для обхода блокировки действий пользователя, чтобы получить дополнительные разрешения. Связанные ошибки (перечислены в cve, ссылка и Тип):

Далее мы вернулись в наш дорогой старый друг, Медиа-структуры. Есть 5 уязвимостей, отмеченных высокой, что влияет на эту систему. Каждый из них помечены как таковые, потому что самым тяжелым может позволить удаленному злоумышленнику, используя вредоносный файл, чтобы выполнить произвольный код в контексте привилегированного процесса. Связанные ошибки (перечислены в cve, ссылка и Тип):

Android системы не свободны от проблем, отмеченные высокой. На самом деле, есть пять уязвимых мест в этой категории, наиболее серьезная из которых может позволить удаленному злоумышленнику, используя вредоносный файл, чтобы выполнить произвольный код в контексте привилегированного процесса. Связанные ошибки (перечислены в cve, ссылка и Тип):

Смотри: это Pro руководство для эффективного управления исправлениями (бесплатный PDF) (издания techrepublic

Уровень 2018-06-05 патч безопасности

Критические Вопросы

Есть 6 уязвимостей отмечены как критические для 5 патча июня. Первый из которых связан с компонентами LG и может позволить злоумышленнику обойти требования взаимодействия с пользователем, чтобы получить доступ к дополнительным функциям. Связанные с ошибкой перечислены уязвимости cve, ссылка и Тип):

  • Уязвимость cve-2018-9364 а-69163111* Эоп

Существует также одна критическая Уязвимость, связанная с компонентом Медиатек. Этот вопрос может позволить удаленному злоумышленнику выполнить произвольный код в контексте Доверенной вычислительной базы (которая включает в себя оборудование, микропрограммное обеспечение и/или программное обеспечение). Соответствующие ошибки (перечислены уязвимости cve, ссылка, тип, и компонент):

  • Уязвимость cve-2018-9373 а-71867247* М-ALPS03740330 Эоп Медиатек подключения TDLS

Остальные важные вопросы вы найдете в различных компонентов Qualcomm и может позволить злоумышленнику обойти взаимодействия пользователя, чтобы получить доступ к дополнительным функциям. Соответствующие ошибки (перечислены в cve, Справочник, справочники компания Qualcomm, Тип, а компонент):

  • Уязвимость cve-2017-18158 а-68992400 КК-кл#2104056 Эоп загрузчика
  • Уязвимость cve-2018-3569 а-74237215 КК-кл#2161920 Эоп подключения хоста
  • Уязвимость cve-2017-18155 а-66734153*КК-кл#1050893 РПП аппаратный кодек
  • Уязвимость cve-2018-5854 а-71800779 КК-кл#2183877 Эоп загрузчика

Высокое Вопросов

И теперь мы делаем акцент на уязвимости, отмеченные высокой. Первые четыре связаны с различными компонентами ядра и может включать локальный вредоносное приложение выполнить произвольный код в контексте привилегированного процесса. Обзоры ошибок (перечислены в cve, ссылка, Тип, а компонент):

В рамках Медиа был обнаружен у одного проблема, которая может позволить локально установленное вредоносное приложение для обхода блокировки взаимодействия пользователя, чтобы получить доступ к дополнительным функциям. Соответствующие ошибки (перечислены в cve, ссылка и Тип):

  • Уязвимость cve-2018-9409 а-63144992* Прн высокой

Компоненты медиатек пострадали восемь уязвимостей, отмеченных высоким, наиболее серьезная из которых может позволить удаленному злоумышленнику выполнить произвольный код в контексте Доверенной вычислительной базы. Обзоры ошибок (перечислены в cve, ссылка, Тип, а компонент):

  • Уязвимость cve-2018-9366 а-72314499* М-ALPS03762526 Эоп ИМСА
  • Уязвимость cve-2018-9367 за-72314219* М-ALPS03762692 Эоп Cameratool ПДИК
  • Уязвимость cve-2018-9368 а-70727446* М-ALPS03730693 Эоп mtksocaudio
  • Уязвимость cve-2018-9369 а-70514573* М-ALPS03666161 Эоп загрузчика
  • Уязвимость cve-2018-9370 а-70515281* М-ALPS03693488 Эоп загрузчика
  • Уязвимость cve-2018-9371 а-70515752* М-ALPS03683903 Эоп загрузчика
  • Уязвимость cve-2018-9372 а-70730215* М-ALPS03676237 Эоп загрузчика

Далее мы видим NVIDIA с три уязвимости, отмеченные высоким, каждая из которых может позволить локально установленное вредоносное приложение выполнить произвольный код в контексте привилегированного процесса. Обзоры ошибок (перечислены в cve, ссылка, Тип, а компонент):

  • Уязвимость cve-2017-6290 а-69559414* Н-200373895 Эоп ТЛК TrustZone
  • Уязвимость cve-2017-6294 а-69316825* Н-200369095 Эоп НВИДИА Тегра Х1 ТЗ
  • Уязвимость cve-2017-6292 а-69480285* Н-200373888 Эоп ТЛЗ TrustZone

Наконец мы вернулись к Qualcomm, долива диаграммы с девятью уязвимостей отмечены высокая. Каждый из этих уязвимостей может позволить злоумышленнику обойти взаимодействия с пользователем, тем самым получив доступ к дополнительным функциям. Обзоры ошибок (перечислены в cve, Справочник, справочники компания Qualcomm, Тип, а компонент):

  • Уязвимость cve-2017-13077 а-63165064* Эоп подключения
  • Уязвимость cve-2018-5896 а-70399602*КК-кл#2163793 идентификатор диаг водителя
  • УЯЗВИМОСТЬ CVE-2018-5829 А-74237546 КК-КЛ#2151241 ИДЕНТИФИКАТОР ПОДКЛЮЧЕНИЯ
  • Уязвимость cve-2017-18159 а-68992405 КК-кл#2105697 Эоп загрузчика
  • Уязвимость cve-2017-18158 а-67782849*КК-кл#2104056 Эоп загрузчика
  • Уязвимость cve-2018-5835 а-74237148 КК-кл#2153553 Эоп подключения хоста
  • Уязвимость cve-2018-5834 а-74237804 КК-кл#2153326 Эоп подключения
  • Уязвимость cve-2018-5831 а-74237606 КК-кл#2161310 Эоп ГПУ водителя
  • Уязвимость cve-2018-5830 а-74237532 КК-кл#2157917 Эоп подключения хоста

Модернизация и обновление

Разработчики усердно работать, чтобы залатать уязвимости, но до конечных пользователей для обеспечения исправления найти свой путь к устройствам. Убедитесь, что Вы не только проверять наличие обновлений, но применить их, как только они доступны.

0
Авторизация
*
*

шесть − один =

Регистрация
*
*
*
Пароль не введен
*

восемь − 5 =

Генерация пароля

шестнадцать + 15 =