WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng nghiêm trọng ảnh hưởng Android 9 và 10 vừa được Google xử lý trong Bản vá tháng 5
Google vừa phát hành Bản vá an ninh tháng 5/2020 cho hệ điều hành Android, xử lý tổng cộng 39 lỗ hổng, trong đó nghiêm trọng nhất là lỗ hổng ảnh hưởng đến Android 9 và 10.
Bản vá tháng 5 được chia làm 2 phần: 15 bản vá lỗi cho cấp bản vá 2020-05-01 và 24 bản vá cho cấp bản vá 2020-05-05.
Lỗ hổng nghiêm trọng nhất, CVE-2020-0103, nằm trong Hệ thống Android, có thể tạo điều kiện cho kẻ tấn công từ xa sử dụng đường truyền đặc biệt để thực thi mã tùy ý trong điều kiện xử lý đặc quyền, theo lưu ý của Google.
Tuy nhiên, theo Trung tâm an ninh mạng CIS, khả năng khai thác phụ thuộc vào tình trạng đặc quyền của ứng dụng.
“Nếu ứng dụng được cấu hình có ít quyền người dùng hơn trên hệ thống, khai thác thành công lỗ hổng sẽ có mức độ ảnh hưởng thấp hơn so với được cấu hình quyền admin”, CIS cho hay.
Những lỗ hổng này có thể bị khai thác thông qua nhiều phương thức khác nhau như email, trình duyệt và các dịch vụ đa phương tiện (MMS) khi xử lý các file đa phương tiện.
“Dựa trên đặc quyền ứng dụng, kẻ tấn công có thể cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo nhiều account mới với quyền người dùng đầy đủ. Tuy nhiên, chưa có lỗ hổng nào bị khai khác trên thực tế”, CIS cho biết.
Ngoài lỗ hổng CVE-2020-0103, cấp bản vá 2020-05-01 xử lý 7 lỗi hệ thống khác. Trong đó, 4 lỗi leo thang đặc quyền ở mức nghiêm trọng cao (3 lỗi tồn tại trong thành phần Framework, 1 lỗi trong khung Media) cùng 2 lỗi tiết lộ thông tin ở mức nghiêm trọng cao và 1 lỗi tiết lộ thông tin khác ở mức nghiêm trọng trung bình (trong khungMedia).
Lỗ hổng CVE-2020-0096, trong thành phần Framework, có thể cho phép kẻ tấn công nội bộ thực thi mã tùy ý trong điều kiện xử lý đặc quyền.
Trong tháng này, Google Play không nhận được bản vá nào.
Trong khi đó, cấp bản vá 2020-05-05 xử lý 2 lỗ hổng ở mức nghiêm trọng cao trong các thành phần Kernel (lỗi leo thang đặc quyền và lỗi tiết lộ thông tin), 4 lỗi tiết lộ thông tin ở mức nghiêm trọng cao trong các thành phần MediaTek, 8 lỗ hổng trong các thành phần Qualcomm (mức độ nghiêm trọng cao) và 10 lỗi tồn tại trong các thành phần nguồn đóng Qualcomm (1 nghiêm trọng, 9 nghiêm trọng cao).
Google trong tháng này đã vá tổng cộng 7 lỗ hổng trong các thiết bị Pixel, tất cả đều được đánh giá ở mức độ nghiêm trọng trung bình. Các lỗ hổng này ảnh hưởng đến các thành phần Kernel (leo thang đặc quyền trong trình điều khiển âm thanh và airbrush, DoS trong kho lưu trữ ảo), các thành phần Qualcomm (2 lỗi trong âm thanh) và các thành phần nguồn đóng Qualcomm.
Lỗ hổng nghiêm trọng nhất, CVE-2020-0103, nằm trong Hệ thống Android, có thể tạo điều kiện cho kẻ tấn công từ xa sử dụng đường truyền đặc biệt để thực thi mã tùy ý trong điều kiện xử lý đặc quyền, theo lưu ý của Google.
Tuy nhiên, theo Trung tâm an ninh mạng CIS, khả năng khai thác phụ thuộc vào tình trạng đặc quyền của ứng dụng.
“Nếu ứng dụng được cấu hình có ít quyền người dùng hơn trên hệ thống, khai thác thành công lỗ hổng sẽ có mức độ ảnh hưởng thấp hơn so với được cấu hình quyền admin”, CIS cho hay.
Những lỗ hổng này có thể bị khai thác thông qua nhiều phương thức khác nhau như email, trình duyệt và các dịch vụ đa phương tiện (MMS) khi xử lý các file đa phương tiện.
“Dựa trên đặc quyền ứng dụng, kẻ tấn công có thể cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo nhiều account mới với quyền người dùng đầy đủ. Tuy nhiên, chưa có lỗ hổng nào bị khai khác trên thực tế”, CIS cho biết.
Ngoài lỗ hổng CVE-2020-0103, cấp bản vá 2020-05-01 xử lý 7 lỗi hệ thống khác. Trong đó, 4 lỗi leo thang đặc quyền ở mức nghiêm trọng cao (3 lỗi tồn tại trong thành phần Framework, 1 lỗi trong khung Media) cùng 2 lỗi tiết lộ thông tin ở mức nghiêm trọng cao và 1 lỗi tiết lộ thông tin khác ở mức nghiêm trọng trung bình (trong khungMedia).
Lỗ hổng CVE-2020-0096, trong thành phần Framework, có thể cho phép kẻ tấn công nội bộ thực thi mã tùy ý trong điều kiện xử lý đặc quyền.
Trong tháng này, Google Play không nhận được bản vá nào.
Trong khi đó, cấp bản vá 2020-05-05 xử lý 2 lỗ hổng ở mức nghiêm trọng cao trong các thành phần Kernel (lỗi leo thang đặc quyền và lỗi tiết lộ thông tin), 4 lỗi tiết lộ thông tin ở mức nghiêm trọng cao trong các thành phần MediaTek, 8 lỗ hổng trong các thành phần Qualcomm (mức độ nghiêm trọng cao) và 10 lỗi tồn tại trong các thành phần nguồn đóng Qualcomm (1 nghiêm trọng, 9 nghiêm trọng cao).
Google trong tháng này đã vá tổng cộng 7 lỗ hổng trong các thiết bị Pixel, tất cả đều được đánh giá ở mức độ nghiêm trọng trung bình. Các lỗ hổng này ảnh hưởng đến các thành phần Kernel (leo thang đặc quyền trong trình điều khiển âm thanh và airbrush, DoS trong kho lưu trữ ảo), các thành phần Qualcomm (2 lỗi trong âm thanh) và các thành phần nguồn đóng Qualcomm.
Nguồn: Security Week, Thread post