Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на уязвимом устройстве, повысить свои привилегии или получить доступ к важным данным.
Google выпустила необычайно огромный бюллетень безопасности, описывающий 108 уязвимостей.
Исправления разделены на 2 уровня. Разделение исправления на 2 уровня требуется для обеспечения более гибкого управления процессом доставки патчей на конечные устройства пользователей.
Первый уровень устраняет уязвимости непосредственно в ОС Android. 7 критических уязвимостей, позволяющих удаленно выполнить произвольный код были обнаружены в компоненте Mediaserver. Злоумышленник может заполучить полный контроль над уязвимым устройством во время просмотра сайтов в сети Интернет, чтения MMS или email-сообщений, просмотра видеофайлов. Еще одна критическая уязвимость относится к OpenSSL и BoringSSL.
Остальные исправленные уязвимости позволяют, в основном, повысить привилегии на системе и заполучить доступ к потенциально важным данным. Ошибки безопасности присутствуют в различных библиотеках, службах, реализации Bluetooth и Framework API.
Второй уровень обновления содержит исправления, относящиеся непосредственно к конкретным производителям устройств. Речь идет в большинстве случаев об уязвимостях повышения привилегий, присутствующий в драйверах Qualcomm, NVIDIA и MediaTek, компонентах драйверов и некоторых ошибках в ядре ОС.
В настоящее время нет информации об активной эксплуатации исправленных уязвимостей злоумышленниками.
Источник:
https://www.securitylab.ru/news/483046.php
07.07.2016, 16:01
