WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Google vá các lỗ hổng nghiêm trọng trong Android Mediaserver, Qualcomm Driver
Google vừa phát hành bộ cập nhật an ninh tháng 6/2016 cho hệ điều hành Android, vá tổng cộng 40 lỗ hổng gồm 8 lỗi nghiêm trọng và 28 lỗi có mức nguy hiểm cao.
Trong bản tin an ninh tháng này, Google vá 15 lỗ hổng an ninh trong mediaserver, cùng với 16 lỗ hổng trong các trình điều khiển (driver) Qualcomm, và 9 lỗi trong các thành phần và trình điều khiển khác.
Cập nhật an ninh Android tháng 6/2016 giải quyết một lỗi thực thi mã từ xa (RCE) trong mediaserver (CVE-2016-2463) được đánh giá nghiêm trọng, 13 lỗi có mức nguy hiểm cao trong các thành phần - 12 lỗi về leo thang đặc quyền (CVE-2016-2476, CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE- 2016-2485, CVE-2016-2486, CVE-2016-2487) và một lỗi từ chối dịch vụ từ xa (CVE-2016-2495) và một lỗ hổng tiết lộ thông tin (CVE-2016-2499) được xếp mức trung bình.
Tháng trước, Google vá 40 lỗ hổng trong Android, 12 trong số đó được đánh giá nghiêm trọng. Một trong số này là lỗi leo thang đặc quyền (EoP) trong môi trường thực thi an toàn của Qualcomm (QseE), ảnh hưởng đến khoảng 60% tất cả các thiết bị Android trên toàn thế giới, nên không có gì ngạc nhiên khi các bản vá lỗi của tháng này chú trọng vào trình điều khiển của Qualcomm.
Cập nhật an ninh Android tháng 6/2016 vá 6 lỗ hổng EoP có mức nghiêm trọng ảnh hưởng đến các trình điều khiển Qualcomm Video (CVE-2016-2465), Sound (CVE-2016-2466, CVE-2016-2467), GPU (CVE-2016-2468, CVE-2016- 2062), và Wi-Fi (CVE-2016-2474).
9 lỗi EoOP khác trong trình điều khiển Qualcomm - Sound (CVE-2016-2066, CVE-2016-2469), Camera (CVE-2016-2061, CVE-2016-2488), Video (CVE-2016-2489), và Wi- Fi (CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473) - cũng đã được vá, tất cả đều có mức nghiêm trọng cao, cùng một lỗ hổng tiết lộ thông tin có nguy cơ trung bình trong trình điều khiển Qualcomm Wi-Fi (CVE-2016-2498).
Google cũng vá một lỗ hổng RCE nghiêm trọng trong libwebm (CVE-2016-2464), hai lỗi EoP có nguy cơ cao trong trình điều khiển Broadcom Wi-Fi (CVE-2016-2475, CVE-2016-2493), hai lỗi khác trong NVIDIA Camera Driver (CVE- 2016-2490, CVE-2016-2491), một trong MediaTek Power Management Driver (CVE-2016-2492), và một trong SD Card Emulation Layer (CVE-2016-2494). Những lỗ hổng mới được vá còn lại là một lỗi EOP trong khung giao diện người dùng (CVE-2016-2496) và một lỗi tiết lộ thông tin trong Activity Manager (CVE-2016-2500), cả hai đều có nguy cơ trung bình.
Android 4.4.4, 5.0.2, 5.1.1, 6.0, và 6.0.1 đều bị ảnh hưởng bởi hầu hết các lỗ hổng này, mặc dù Google giải thích rằng một số lỗi chỉ ảnh hưởng đến các thiết bị Nexus (cụ thể là những lỗi ảnh hưởng Qualcomm, Broadcom, và NVIDIA driver), trong khi những lỗi khác chỉ ảnh hưởng đến Android phiên bản 6.0 và 6.1 (lỗ hổng khung giao diện người dùng).
Thiết bị chạy Android với Bản vá an ninh từ 01/06/2016 hoặc các bản sau đó đều an toàn trước những lỗ hổng này. Google cũng giải thích rằng các đối tác của hãng đã được thông báo về những vấn đề trên ngày 02/05/2016 và các bản vá mã nguồn sẽ được phát hành cho kho dự án mã nguồn mở Android (AOSP) trong thời gian tới.
Theo SecurityWeek
Trong bản tin an ninh tháng này, Google vá 15 lỗ hổng an ninh trong mediaserver, cùng với 16 lỗ hổng trong các trình điều khiển (driver) Qualcomm, và 9 lỗi trong các thành phần và trình điều khiển khác.
Cập nhật an ninh Android tháng 6/2016 giải quyết một lỗi thực thi mã từ xa (RCE) trong mediaserver (CVE-2016-2463) được đánh giá nghiêm trọng, 13 lỗi có mức nguy hiểm cao trong các thành phần - 12 lỗi về leo thang đặc quyền (CVE-2016-2476, CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE- 2016-2485, CVE-2016-2486, CVE-2016-2487) và một lỗi từ chối dịch vụ từ xa (CVE-2016-2495) và một lỗ hổng tiết lộ thông tin (CVE-2016-2499) được xếp mức trung bình.
Tháng trước, Google vá 40 lỗ hổng trong Android, 12 trong số đó được đánh giá nghiêm trọng. Một trong số này là lỗi leo thang đặc quyền (EoP) trong môi trường thực thi an toàn của Qualcomm (QseE), ảnh hưởng đến khoảng 60% tất cả các thiết bị Android trên toàn thế giới, nên không có gì ngạc nhiên khi các bản vá lỗi của tháng này chú trọng vào trình điều khiển của Qualcomm.
Cập nhật an ninh Android tháng 6/2016 vá 6 lỗ hổng EoP có mức nghiêm trọng ảnh hưởng đến các trình điều khiển Qualcomm Video (CVE-2016-2465), Sound (CVE-2016-2466, CVE-2016-2467), GPU (CVE-2016-2468, CVE-2016- 2062), và Wi-Fi (CVE-2016-2474).
9 lỗi EoOP khác trong trình điều khiển Qualcomm - Sound (CVE-2016-2066, CVE-2016-2469), Camera (CVE-2016-2061, CVE-2016-2488), Video (CVE-2016-2489), và Wi- Fi (CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473) - cũng đã được vá, tất cả đều có mức nghiêm trọng cao, cùng một lỗ hổng tiết lộ thông tin có nguy cơ trung bình trong trình điều khiển Qualcomm Wi-Fi (CVE-2016-2498).
Google cũng vá một lỗ hổng RCE nghiêm trọng trong libwebm (CVE-2016-2464), hai lỗi EoP có nguy cơ cao trong trình điều khiển Broadcom Wi-Fi (CVE-2016-2475, CVE-2016-2493), hai lỗi khác trong NVIDIA Camera Driver (CVE- 2016-2490, CVE-2016-2491), một trong MediaTek Power Management Driver (CVE-2016-2492), và một trong SD Card Emulation Layer (CVE-2016-2494). Những lỗ hổng mới được vá còn lại là một lỗi EOP trong khung giao diện người dùng (CVE-2016-2496) và một lỗi tiết lộ thông tin trong Activity Manager (CVE-2016-2500), cả hai đều có nguy cơ trung bình.
Android 4.4.4, 5.0.2, 5.1.1, 6.0, và 6.0.1 đều bị ảnh hưởng bởi hầu hết các lỗ hổng này, mặc dù Google giải thích rằng một số lỗi chỉ ảnh hưởng đến các thiết bị Nexus (cụ thể là những lỗi ảnh hưởng Qualcomm, Broadcom, và NVIDIA driver), trong khi những lỗi khác chỉ ảnh hưởng đến Android phiên bản 6.0 và 6.1 (lỗ hổng khung giao diện người dùng).
Thiết bị chạy Android với Bản vá an ninh từ 01/06/2016 hoặc các bản sau đó đều an toàn trước những lỗ hổng này. Google cũng giải thích rằng các đối tác của hãng đã được thông báo về những vấn đề trên ngày 02/05/2016 và các bản vá mã nguồn sẽ được phát hành cho kho dự án mã nguồn mở Android (AOSP) trong thời gian tới.
Theo SecurityWeek