Bản tin bảo mật Android tháng 6 năm 2019: Những điều bạn cần biết

0
35

            Một tháng nữa lại đến, và Android tìm thấy chính mình với một hỗn hợp các lỗ hổng nghiêm trọng và cao.
        

            
                                                                             
            
            

 android-security-1.jpg "width =" 770

                                            Jack Wallen
                                        

Bản tin bảo mật Android tháng này sẽ có vẻ hơi gầy, so với các tháng trước. Đó là tin tốt, vì nó có nghĩa là ít vấn đề hơn đã được phát hiện. Vì vậy, hãy cho bộ não có đầu óc bảo mật của bạn nghỉ ngơi và xử lý các lỗ hổng quan trọng và ít nghiêm trọng trong Bản tin bảo mật tháng 6.

    
        

Trước khi chúng tôi đi sâu vào những gì được bao gồm trong Bản tin bảo mật Android tháng này, thật tốt khi biết bản phát hành bảo mật nào được cài đặt trên thiết bị của bạn. Vì tôi đã thử nghiệm các dòng nước của Android Q Beta 4 (không được công chúng sử dụng), nên không có gì ngạc nhiên khi trình điều khiển hàng ngày của tôi, Pixel 3, đang chạy một bản vá bảo mật hiện tại (ngày 5 tháng 6, 2018).

XEM: Chính sách sử dụng VPN (Nghiên cứu Tech Pro)

Để tìm hiểu mức độ bản vá bạn đang chạy, mở Cài đặt và đi đến Bảo mật. Trong Cập nhật bảo mật, bạn sẽ tìm thấy cấp độ bản vá bảo mật của mình ( Hình A ).

 secpatchjune.jpg "data-original =" https://tr4.cbsistatic.com/hub/i/2019/06/06/e2655f4d-16a0-462d-bffe-2aa1ebc36ec7 /secpatchjune.jpg[19459050[[19459006[[19459019[[19459018[[19459049[secpatchjunejpg[19459050[[19459006[[19459020[[19459007[[19459021[1945cấpđộbảnvá</p>
</p></div>
</figcaption></figure>
<div class=

Thuật ngữ

Bạn sẽ tìm thấy các loại lỗ hổng khác nhau được liệt kê. Các loại có thể bao gồm:

  • RCE bổ sung Mã thực thi từ xa
  • EoP xuất Độ cao đặc quyền
  • ID tiết lộ thông tin
  • ] DoS từ chối dịch vụ

Và bây giờ, về các vấn đề.

06/01/2019 Cấp độ bản vá

Thật đáng ngạc nhiên, có rất ít lỗ hổng được tìm thấy ở cấp độ bản vá cụ thể này. Trong số những người được tìm thấy, chỉ có bốn được đánh dấu là quan trọng.

Lỗ hổng nghiêm trọng

Ba lỗ hổng quan trọng đầu tiên được tìm thấy trong Khung phương tiện. Chúng được đánh dấu là Quan trọng vì chúng có thể cho phép ứng dụng độc hại được cài đặt cục bộ bỏ qua các yêu cầu tương tác của người dùng để có quyền truy cập vào các quyền bổ sung. Các lỗi liên quan (được liệt kê bởi CVE, Tài liệu tham khảo và Loại) là:

  • CVE-2019-2093 A-119292394 RCE
  • CVE-2019-2094 A-129068792 RCE
  • CVE-2019-2095 A-124232283 RCE

Lỗ hổng nghiêm trọng cuối cùng được tìm thấy trong Hệ thống. Điều này được đánh dấu là Quan trọng vì nó có thể cho phép kẻ tấn công từ xa sử dụng tệp Proxy Auto Config (PAC) độc hại để thực thi mã tùy ý trong ngữ cảnh của một quy trình đặc quyền. Lỗi liên quan (được liệt kê bởi CVE, Tham chiếu và Loại) là:

Lỗ hổng cao

Có ba lỗ hổng, được đánh dấu là Cao, được tìm thấy trong Khung. Chúng được đánh dấu là Cao vì chúng có thể cho phép ứng dụng độc hại được cài đặt cục bộ bỏ qua các yêu cầu tương tác của người dùng để có quyền truy cập vào các quyền bổ sung. Các lỗi liên quan (được liệt kê bởi CVE, Tài liệu tham khảo và Loại) là:

  • CVE-2019-2090 A-128599183 EoP
  • CVE-2019-2091 A-128599660 EoP [1945]
  • CVE-2019-2092 A-128599668 EoP

Khung phương tiện được tìm thấy có một lỗ hổng duy nhất được đánh dấu Cao. Vấn đề này được đánh dấu là nó có thể cho phép kẻ tấn công từ xa, sử dụng tệp độc hại, thực thi mã tùy ý trong bối cảnh của một quy trình đặc quyền. Lỗi liên quan (được liệt kê bởi CVE, Tài liệu tham khảo và Loại) là:

Hệ thống chứa ba lỗ hổng được đánh dấu Cao. Chúng được gắn nhãn như vậy bởi vì chúng có thể cho phép kẻ tấn công từ xa, sử dụng tệp PAC độc hại, để thực thi mã tùy ý trong bối cảnh của một quy trình đặc quyền. Các lỗi liên quan (được liệt kê bởi CVE, Tài liệu tham khảo và Loại) là:

  • CVE-2019-2102 A-128843052 EoP
  • CVE-2019-2098 A-128599467 EoP ]
  • CVE-2019-2099 A-123533388 EoP

06/05/2019

Lỗ hổng nghiêm trọng

[194590030] tổng số lỗ hổng được đánh dấu quan trọng cho cấp độ bản vá ngày 5 tháng 6. Tất cả bốn lỗ hổng này đều được tìm thấy trong các thành phần của Qualcomm. Hai cái đầu tiên được tìm thấy trong các thành phần nguồn mở và được mô tả chi tiết trong bản tin bảo mật Qualcomm thích hợp. Các lỗi liên quan là (được liệt kê bởi CVE, Tài liệu tham khảo, Tài liệu tham khảo Qualcomm và Thành phần):

Hai lỗ hổng quan trọng tiếp theo được tìm thấy trong các thành phần nguồn đóng Qualcomm. Một lần nữa, những vấn đề này được mô tả chi tiết trong bản tin bảo mật Qualcomm thích hợp. Các lỗi liên quan (được liệt kê bởi CVE và Tài liệu tham khảo) là:

  • CVE-2018-13924 A-120486477
  • CVE-2018-13927 A-120485121
  • Lỗ hổng cao

    Có bảy lỗ hổng được đánh dấu là Cao cho cấp độ vá ngày 5 tháng 6. Vấn đề đầu tiên được tìm thấy trong Khung và được đánh dấu như vậy vì nó có thể dẫn đến việc tiết lộ thông tin từ xa mà không cần thêm đặc quyền thực thi. Lỗi liên quan là (được liệt kê bởi CVE, Reference và Type) là:

    Lỗ hổng cao tiếp theo được tìm thấy trong một thành phần của Kernel và được đánh dấu như vậy vì nó có thể cho phép ứng dụng độc hại được cài đặt cục bộ bỏ qua các biện pháp bảo vệ hệ điều hành nhằm cách ly dữ liệu ứng dụng khỏi các ứng dụng khác. Lỗi liên quan (được liệt kê bởi CVE, Tài liệu tham khảo, Loại và Thành phần) là:

    Hai lỗ hổng tiếp theo được đánh dấu Cao được tìm thấy trong các thành phần nguồn mở của Qualcomm. Các vấn đề này được mô tả chi tiết trong bản tin bảo mật Qualcomm thích hợp. Các lỗi liên quan (được liệt kê bởi CVE, Tài liệu tham khảo, Tham khảo Qualcomm và Thành phần) là:

    Cuối cùng, hai lỗ hổng cuối cùng được đánh dấu Cao đã được tìm thấy trong các thành phần nguồn đóng Qualcomm. Chi tiết về các vấn đề này có thể được tìm thấy trong bản tin bảo mật Qualcomm thích hợp. Các lỗi liên quan (được liệt kê bởi CVE và Tài liệu tham khảo) là:

    • CVE-2018-13896 A-120487163
    • CVE-2019-2243 A-122473494
    • CVE-2019-2261 A-123998003

    Nâng cấp và cập nhật

    Các nhà phát triển sẽ làm việc chăm chỉ để khắc phục lỗ hổng, nhưng nó sẽ đảm bảo cho người dùng cuối. sửa lỗi tìm đường đến các thiết bị. Hãy chắc chắn rằng bạn không chỉ kiểm tra các bản cập nhật mà còn áp dụng chúng ngay khi chúng có sẵn.

                                                                                    

                                                    

    Cũng xem