alexzir
10.08.2020, 20:20
Компания Samsung начала выпуск августовских обновлений безопасности Android для мобильных устройств, чтобы исправить критические уязвимости в операционной системе.
На прошлой неделе Android опубликовал свои обновления безопасности за август 2020 года, которые включают в себя многочисленные исправления безопасности для критических уязвимостей, влияющих на новейшие устройства.
По информации BleepingComputer, устройства Samsung Galaxy автоматически загружают обновления, начиная с 8 августа 2020 года. Эти обновления включают улучшения камеры и оптимизацию Wi-Fi, а также некоторые довольно важные исправления безопасности.
https://www.bleepstatic.com/images/news/u/1164866/August%202020/android%20updates/Screenshot%202020-08-08%20at%201_02_56%20pm.png
Android установка обновлений за август 2020 на Samsung Galaxy S10 5G
Источник: BleepingComputer
Все уязвимости в этом обновлении имеют рейтинг серьезности «Высокая» или «Критическая», что делает это обновление обязательным для пользователей Android, чтобы их устройства оставались защищенными.
От RCE до обходу пользовательского интерфейса: самые опасные уязвимости
Из всех патчей важнейшим является исправление CVE-2020-0240, уязвимости удаленного выполнения кода, вызванной ошибкой «integer overflow» в операционной системе Android.
"Самая серьезная уязвимость в этом разделе может позволить удаленному злоумышленнику, использующему специально созданный файл, выполнить произвольный код в контексте непривилегированного процесса», - поясняется в информационном бюллетене (https://source.android.com/security/bulletin/2020-08-01).
В случае успешного использования эта уязвимость позволит удаленному злоумышленнику получить полный контроль над вашим устройством.
https://www.bleepstatic.com/images/news/u/1164866/August%202020/android%20updates/Screenshot%202020-08-08%20at%201_35_41%20pm.png
Исправление зеленого цвета для CVE-2020-0240: ошибка RCE с целочисленным переполнением
Источник:Google Git
К другим уязвимостям относятся уязвимости, позволяющие полностью обойти взаимодействие с пользователем для получения повышенных разрешений. Эта уязвимость позволяет злоумышленнику запускать код с более высокими разрешениями, чем обычно.
В информационном бюллетене говорится, что в случае эксплуатации «наиболее серьезная уязвимость в этом разделе может позволить локальному вредоносному приложению обойти требования взаимодействия с пользователем для получения доступа к дополнительным разрешениям».
Другие заметные уязвимости, исправленные в этом обновлении, сгруппированы ниже:
Framework:
CVE References Type Severity Updated AOSP versions
CVE-2020-0240 A-150706594 (https://android.googlesource.com/platform/external/v8/+/cb30bc6720cb3864d1a9f9c55b7d53ab2d9a5f7a) RCE High 10
CVE-2020-0238 A-150946634 (https://android.googlesource.com/platform/packages/apps/Settings/+/33dd3187d0246a0425a41f76888a369c16dc9379) EoP High 8.0, 8.1, 9, 10
CVE-2020-0257 A-156741968 (https://android.googlesource.com/platform/frameworks/base/+/b26c7160cd1dfba9224ba12dc075ac3c658b18c3) EoP High 10
CVE-2020-0239 A-151095863 (https://android.googlesource.com/platform/frameworks/base/+/556de438237965857fde874d22aff0c4232d4d99) ID High 9, 10
CVE-2020-0249 A-154719656 (https://android.googlesource.com/platform/frameworks/base/+/e183ab7e5a865ff1051505085b617f4f3ad4c049) ID High 8.0, 8.1, 9, 10
CVE-2020-0258 A-157598956 (https://android.googlesource.com/platform/frameworks/base/+/d1126e7160b87313de91be5dbf7d0d9b08900f70) ID High 10
CVE-2020-0247 A-156087409 (https://android.googlesource.com/platform/frameworks/base/+/4d467f1c7d7d355d0ac71a12ec8c2df07f756046) DoS High 8.0, 8.1, 10
Media Framework:
CVE References Type Severity Updated AOSP versions
CVE-2020-0241 A-151456667 (https://android.googlesource.com/platform/frameworks/av/+/82f267012f29089c284340868de7375e77510e62) EoP High 8.0, 8.1, 9, 10
CVE-2020-0242 A-151643722 (https://android.googlesource.com/platform/frameworks/av/+/f191963f5645f59390b640136fd928e5a492aa84) EoP High 8.0, 8.1, 9, 10
CVE-2020-0243 A-151644303 (https://android.googlesource.com/platform/frameworks/av/+/f191963f5645f59390b640136fd928e5a492aa84) EoP High 8.0, 8.1, 9, 10
System:
CVE References Type Severity Updated AOSP versions
CVE-2020-0108 A-140108616 (https://android.googlesource.com/platform/frameworks/base/+/45a53e6cb8d3276126cfe0e717ad7ed486d39b24) [2 (https://android.googlesource.com/platform/frameworks/base/+/0a163302b0288cdc4d9ca5e04398386ef8e1ec6b)] [3 (https://android.googlesource.com/platform/packages/apps/Settings/+/36f182159ffae1f14a1733a3bb1334cdd9d44742)] [4 (https://android.googlesource.com/platform/packages/services/Car/+/d2d8933e006efc251fda52e6807807d107f2ca12)] EoP High 8.1, 9, 10
CVE-2020-0256 A-152874864 (https://android.googlesource.com/platform/external/gptfdisk/+/7ffd0a26064cf25c0922f2bab511e4b4e8149083) EoP High 8.0, 8.1, 9, 10
CVE-2020-0248 A-154627439 (https://android.googlesource.com/platform/frameworks/base/+/c4d6e387984e09e86a58e6485555a2d651f0481f) ID High 10
CVE-2020-0250 A-154934934 (https://android.googlesource.com/platform/packages/services/Telephony/+/aa4283b976ea7bc5d1708472477834462a1dbdde) ID High 10
Полный список многих других CVE, которые были исправлены в различных компонентах, представлен в бюллетене (https://source.android.com/security/bulletin/2020-08-01).
Некоторые уязвимости всё ещё можно использовать
На некоторых устройствах Samsung Galaxy выпущенные на этой неделе обновления (https://doc.samsungmobile.com/SM-G977B/EVR/doc.html)имеют последний «уровень исправления безопасности» от «01.08.2020». Это означает, что уязвимости высокой степени серьезности, связанные с повышением привилегий (EoP), которые должны быть исправлены «патчем безопасности 2020-08-05 (https://source.android.com/security/bulletin/2020-08-01#05-details)», по-прежнему могут использоваться.
Только одна из этих уязвимостей, CVE-2020-0259, например, может позволить локально присутствующему злоумышленнику выполнить произвольный код на непропатченном устройстве путем повышения привилегий.
Пользователям рекомендуется немедленно обновить свои устройства Android, чтобы обезопасить себя от этих ошибок и убедиться, что на их устройствах включены настройки «автообновления».
Источник: https://www.bleepingcomputer.com/ne...roid-updates-fixing-critical-vulnerabilities/ (https://www.bleepingcomputer.com/news/security/samsung-rolls-out-android-updates-fixing-critical-vulnerabilities/)
На прошлой неделе Android опубликовал свои обновления безопасности за август 2020 года, которые включают в себя многочисленные исправления безопасности для критических уязвимостей, влияющих на новейшие устройства.
По информации BleepingComputer, устройства Samsung Galaxy автоматически загружают обновления, начиная с 8 августа 2020 года. Эти обновления включают улучшения камеры и оптимизацию Wi-Fi, а также некоторые довольно важные исправления безопасности.
https://www.bleepstatic.com/images/news/u/1164866/August%202020/android%20updates/Screenshot%202020-08-08%20at%201_02_56%20pm.png
Android установка обновлений за август 2020 на Samsung Galaxy S10 5G
Источник: BleepingComputer
Все уязвимости в этом обновлении имеют рейтинг серьезности «Высокая» или «Критическая», что делает это обновление обязательным для пользователей Android, чтобы их устройства оставались защищенными.
От RCE до обходу пользовательского интерфейса: самые опасные уязвимости
Из всех патчей важнейшим является исправление CVE-2020-0240, уязвимости удаленного выполнения кода, вызванной ошибкой «integer overflow» в операционной системе Android.
"Самая серьезная уязвимость в этом разделе может позволить удаленному злоумышленнику, использующему специально созданный файл, выполнить произвольный код в контексте непривилегированного процесса», - поясняется в информационном бюллетене (https://source.android.com/security/bulletin/2020-08-01).
В случае успешного использования эта уязвимость позволит удаленному злоумышленнику получить полный контроль над вашим устройством.
https://www.bleepstatic.com/images/news/u/1164866/August%202020/android%20updates/Screenshot%202020-08-08%20at%201_35_41%20pm.png
Исправление зеленого цвета для CVE-2020-0240: ошибка RCE с целочисленным переполнением
Источник:Google Git
К другим уязвимостям относятся уязвимости, позволяющие полностью обойти взаимодействие с пользователем для получения повышенных разрешений. Эта уязвимость позволяет злоумышленнику запускать код с более высокими разрешениями, чем обычно.
В информационном бюллетене говорится, что в случае эксплуатации «наиболее серьезная уязвимость в этом разделе может позволить локальному вредоносному приложению обойти требования взаимодействия с пользователем для получения доступа к дополнительным разрешениям».
Другие заметные уязвимости, исправленные в этом обновлении, сгруппированы ниже:
Framework:
CVE References Type Severity Updated AOSP versions
CVE-2020-0240 A-150706594 (https://android.googlesource.com/platform/external/v8/+/cb30bc6720cb3864d1a9f9c55b7d53ab2d9a5f7a) RCE High 10
CVE-2020-0238 A-150946634 (https://android.googlesource.com/platform/packages/apps/Settings/+/33dd3187d0246a0425a41f76888a369c16dc9379) EoP High 8.0, 8.1, 9, 10
CVE-2020-0257 A-156741968 (https://android.googlesource.com/platform/frameworks/base/+/b26c7160cd1dfba9224ba12dc075ac3c658b18c3) EoP High 10
CVE-2020-0239 A-151095863 (https://android.googlesource.com/platform/frameworks/base/+/556de438237965857fde874d22aff0c4232d4d99) ID High 9, 10
CVE-2020-0249 A-154719656 (https://android.googlesource.com/platform/frameworks/base/+/e183ab7e5a865ff1051505085b617f4f3ad4c049) ID High 8.0, 8.1, 9, 10
CVE-2020-0258 A-157598956 (https://android.googlesource.com/platform/frameworks/base/+/d1126e7160b87313de91be5dbf7d0d9b08900f70) ID High 10
CVE-2020-0247 A-156087409 (https://android.googlesource.com/platform/frameworks/base/+/4d467f1c7d7d355d0ac71a12ec8c2df07f756046) DoS High 8.0, 8.1, 10
Media Framework:
CVE References Type Severity Updated AOSP versions
CVE-2020-0241 A-151456667 (https://android.googlesource.com/platform/frameworks/av/+/82f267012f29089c284340868de7375e77510e62) EoP High 8.0, 8.1, 9, 10
CVE-2020-0242 A-151643722 (https://android.googlesource.com/platform/frameworks/av/+/f191963f5645f59390b640136fd928e5a492aa84) EoP High 8.0, 8.1, 9, 10
CVE-2020-0243 A-151644303 (https://android.googlesource.com/platform/frameworks/av/+/f191963f5645f59390b640136fd928e5a492aa84) EoP High 8.0, 8.1, 9, 10
System:
CVE References Type Severity Updated AOSP versions
CVE-2020-0108 A-140108616 (https://android.googlesource.com/platform/frameworks/base/+/45a53e6cb8d3276126cfe0e717ad7ed486d39b24) [2 (https://android.googlesource.com/platform/frameworks/base/+/0a163302b0288cdc4d9ca5e04398386ef8e1ec6b)] [3 (https://android.googlesource.com/platform/packages/apps/Settings/+/36f182159ffae1f14a1733a3bb1334cdd9d44742)] [4 (https://android.googlesource.com/platform/packages/services/Car/+/d2d8933e006efc251fda52e6807807d107f2ca12)] EoP High 8.1, 9, 10
CVE-2020-0256 A-152874864 (https://android.googlesource.com/platform/external/gptfdisk/+/7ffd0a26064cf25c0922f2bab511e4b4e8149083) EoP High 8.0, 8.1, 9, 10
CVE-2020-0248 A-154627439 (https://android.googlesource.com/platform/frameworks/base/+/c4d6e387984e09e86a58e6485555a2d651f0481f) ID High 10
CVE-2020-0250 A-154934934 (https://android.googlesource.com/platform/packages/services/Telephony/+/aa4283b976ea7bc5d1708472477834462a1dbdde) ID High 10
Полный список многих других CVE, которые были исправлены в различных компонентах, представлен в бюллетене (https://source.android.com/security/bulletin/2020-08-01).
Некоторые уязвимости всё ещё можно использовать
На некоторых устройствах Samsung Galaxy выпущенные на этой неделе обновления (https://doc.samsungmobile.com/SM-G977B/EVR/doc.html)имеют последний «уровень исправления безопасности» от «01.08.2020». Это означает, что уязвимости высокой степени серьезности, связанные с повышением привилегий (EoP), которые должны быть исправлены «патчем безопасности 2020-08-05 (https://source.android.com/security/bulletin/2020-08-01#05-details)», по-прежнему могут использоваться.
Только одна из этих уязвимостей, CVE-2020-0259, например, может позволить локально присутствующему злоумышленнику выполнить произвольный код на непропатченном устройстве путем повышения привилегий.
Пользователям рекомендуется немедленно обновить свои устройства Android, чтобы обезопасить себя от этих ошибок и убедиться, что на их устройствах включены настройки «автообновления».
Источник: https://www.bleepingcomputer.com/ne...roid-updates-fixing-critical-vulnerabilities/ (https://www.bleepingcomputer.com/news/security/samsung-rolls-out-android-updates-fixing-critical-vulnerabilities/)