WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Google vá nhiều lỗi nghiêm trọng trên Android
Google vừa công bố gói bản vá tháng 11/2017 cho hệ điều hành Android, giải quyết 31 lỗi, 9 trong số đó là lỗi thực thi code từ xa được đánh giá ở mức nghiêm trọng. Toàn bộ 9 lỗ hổng này đều có liên quan tới vụ tấn công KRACK gần đây.
11 vấn đề được giải quyết trong Android bao gồm 6 lỗi nghiêm trọng về thực thi code từ xa, 3 lỗi đặc quyền, và 2 lỗi liên quan tới việc tiết lộ thông tin. Các thành phần của Qualcomm bị ảnh hưởng nhiều nhất với 7 vấn đề được giải quyết.Trong một bài đăng trên blog, nhà phát triển Linux Scott Bauer giải thích rằng các lỗ hổng thực thi mã từ xa tồn tại trên trình điều khiển Wi-Fi Qualcomm/Atheros qcacld đi kèm trong các thiết bị Pixel và Nexus 5X.
Nhà nghiên cứu nói rằng ông đã thông báo 8 lỗi này cho Google cách đây vài tháng, và công ty vá khá chậm chạp. Do mức độ nghiêm trọng của các lỗi, nhà nghiên cứu cho rằng ông đủ điều kiện để dược trao thưởng 22.000 USD.
Tất cả 9 lỗ hổng được khắc phục trong gói bản vá đều liên quan đến cuộc tấn công KRACK được tiết lộ hồi tháng trước. Tấn công KRACK là một phương pháp tấn công sử dụng các lỗi trong giao thức bảo vệ mạng Wi-Fi WPA2 Kỹ thuật này cho phép kẻ tấn công tiếp cận thông tin được mã hóa và thậm chí chèn hoặc thao tác dữ liệu.
Với các sản phẩm dễ bị tấn công KRACK, các nhà cung cấp đã công bố các bản vá cho những lỗi này ngay sau khi cuộc tấn công được công khai. Apple đã giải quyết các sai sót trong nhiều sản phẩm với việc phát hành bản cập nhật bảo mật vào tuần trước.
Bắt đầu từ tháng 10 năm 2017, Google đã bắt đầu phát hành một bản tin bảo mật dành riêng cho các thiết bị Nexus và Pixel để chỉ những lỗ hổng cụ thể đối với các thiết bị này.
Bản tin bảo mật Pixel / Nexus-Tháng 11 năm 2017 có bản vá cho hơn 50 lỗi ảnh hưởng đến các thành phần như Framework, Media framework, Runtime, System, và Kernel, MediaTek, NVIDIA, và Qualcomm và các thiết bị của Qualcomm. Hầu hết các lỗ hổng là mức độ nghiêm trọng trung bình, nhưng một số trong đó là nguy cơ cao.
Tháng này, Google đã giải quyết hầu hết các vấn đề về leo thang đặc quyền đồng thời giải quyết nhiều lỗi về tiết lộ thông tin, các lỗ hổng thực thi code từ xa và từ chối dịch vụ. Ngoài các bản vá bảo mật, bản cập nhật cũng bao gồm các bản sửa lỗi cho một loạt các sự cố về chức năng cho các loại như Audio, Bluetooth, Camera, Dữ liệu di động và Độ ổn định của Ứng dụng.
11 vấn đề được giải quyết trong Android bao gồm 6 lỗi nghiêm trọng về thực thi code từ xa, 3 lỗi đặc quyền, và 2 lỗi liên quan tới việc tiết lộ thông tin. Các thành phần của Qualcomm bị ảnh hưởng nhiều nhất với 7 vấn đề được giải quyết.Trong một bài đăng trên blog, nhà phát triển Linux Scott Bauer giải thích rằng các lỗ hổng thực thi mã từ xa tồn tại trên trình điều khiển Wi-Fi Qualcomm/Atheros qcacld đi kèm trong các thiết bị Pixel và Nexus 5X.
Nhà nghiên cứu nói rằng ông đã thông báo 8 lỗi này cho Google cách đây vài tháng, và công ty vá khá chậm chạp. Do mức độ nghiêm trọng của các lỗi, nhà nghiên cứu cho rằng ông đủ điều kiện để dược trao thưởng 22.000 USD.
Với các sản phẩm dễ bị tấn công KRACK, các nhà cung cấp đã công bố các bản vá cho những lỗi này ngay sau khi cuộc tấn công được công khai. Apple đã giải quyết các sai sót trong nhiều sản phẩm với việc phát hành bản cập nhật bảo mật vào tuần trước.
Bắt đầu từ tháng 10 năm 2017, Google đã bắt đầu phát hành một bản tin bảo mật dành riêng cho các thiết bị Nexus và Pixel để chỉ những lỗ hổng cụ thể đối với các thiết bị này.
Bản tin bảo mật Pixel / Nexus-Tháng 11 năm 2017 có bản vá cho hơn 50 lỗi ảnh hưởng đến các thành phần như Framework, Media framework, Runtime, System, và Kernel, MediaTek, NVIDIA, và Qualcomm và các thiết bị của Qualcomm. Hầu hết các lỗ hổng là mức độ nghiêm trọng trung bình, nhưng một số trong đó là nguy cơ cao.
Tháng này, Google đã giải quyết hầu hết các vấn đề về leo thang đặc quyền đồng thời giải quyết nhiều lỗi về tiết lộ thông tin, các lỗ hổng thực thi code từ xa và từ chối dịch vụ. Ngoài các bản vá bảo mật, bản cập nhật cũng bao gồm các bản sửa lỗi cho một loạt các sự cố về chức năng cho các loại như Audio, Bluetooth, Camera, Dữ liệu di động và Độ ổn định của Ứng dụng.
Theo: Security Week