وصله‌ی آسیب‌پذیری‌های حیاتی در اندروید توسط گوگل

گوگل در این هفته مجموعه‌ی به‌روزرسانی‌های اندروید برای ماه نوامبر را منتشر کرد؛ در این مجموعه از به‌‌روز‌رسانی‌ها، برای ۳۱ آسیب‌پذیری که ۹ مورد از آن‌ها آسیب‌پذیری‌های اجرای کد از راه دور می‌باشند و با درجه‌ی اهمیت بسیار بحرانی  دسته‌بندی شده‌اند، وصله‌هایی منتشر شده است.  هم‌چنین در مجموع ۹ آسیب‌پذیری با آسیب‌پذیری KRACK که اخیراً در پروتکل امنیتی وای‌فای WPA2 افشاء شده است،‌ مرتبط هستند.

 

بولتن امنیتی اندروید که به تازگی منتشر شده، به سه سطح وصله‌ی امنیتی تقسیم شده است؛ سطوح وصله‌ی ۲۰۱۷٫۱۱٫۰۱ و ۲۰۱۷٫۱۱٫۰۵ شامل وصله‌هایی برای مسائل امنیتی با شدت بالا و حیاتی هستند، در حالی‌که سطح وصله‌ی ۲۰۱۷٫۱۱٫۰۶ فقط آسیب‌پذیری‌های KRACK با خطر بالا را حل می‌کند.

۱۱ آسیب‌پذیری که در وصله‌ی امنیتی ۲۰۱۷٫۱۱٫۰۱ رفع شده‌اند، ۶ آسیب‌پذیری اجرای کد از راه دور حیاتی، ۳ اشکال اعطاء امتیاز با درجه‌بندی شدت بالا، و ۲ آسیب‌پذیری افشاء اطلاعات با درجه‌بندی بالا را شامل می‌شوند.

چارچوب رسانه مربوط‌به اندروید یا Media Framewrok با ۷ آسیب‌پذیری وصله‌شده که ۵ مورد از آن‌ها حیاتی بودند، بیشتر تحت تاثیر قرار گرفته است. این به‌روزرسانی‌ها نسخه‌های ۵ تا  اندروید را شامل می‌شود.

۱۱ آسیب‌پذیری که با وصله‌ی امنیتی ۲۰۱۷٫۱۱٫۰۵ رفع شده‌اند، شاملِ ۳ آسیب‌پذیری اجرای کد از راه دور حیاتی، ۷ اشکال اعطاء امتیاز با خطر بالا، و یک آسیب‌پذیری افشاء اطلاعات با درجه‌بندی شدت بالا را شامل می‌شوند. مولفه‌های Qualcomm با ۷ آسیب‌پذیری وصله‌شده بیشترین تاثیرپذیری را داشته‌اند.

 

 

 یکی از توسعه‌دهندگان لینوکس در یک پست وبلاگی توضیح داد: «آسیب‌پذیری‌های اجرای کد از راه دور در راه‌انداز وای‌فای qcacld Qualcomm/Atheros موجود در دستگاه‌های پیکسل و نکسوس 5X قرار دارند.»

این محقق می‌گوید، او چندین ماه پیش ۸ آسیب‌پذیری مشابه آسیب‌پذیریِ مذکور را به گوگل گزارش داده، و این شرکت به آرامی آن‌ها را وصله کرده است، البته برخی از این آسیب‌پذیر‌‌های گزارش‌شده در به‌روزسانی‌های ماه‌های قبل وصله شده‌اند. این محقق متوجه شد، از آن‌جا که آسیب‌پذیری‌هایی که گزارش کرده دارای اهمیت بالایی بوده‌اند، برای دریافت ۲۲ هزار دلار در برنامه‌ی پاداش در ازای اشکال واجد شرایط است.

او توضیح داد: «یکی از آسیب‌پذیری‌ها که با شناسه‌ی CVE-2017-11013 ردیابی می‌شود، می‌تواند برای حمله به انواع مختلف حافظه مورد استفاده قرار بگیرد. این آسیب‌پذیری می‌تواند یک هدف عالی برای اجرای کد از راه دور در هسته‌ی اندروید باشد، زیرا مهاجم دارای داده‌های کنترل‌شده است و همچنین موقعیت‌های مکانی مختلفی دارد که می‌تواند به آن‌ها آسیب‌ بزند.»

این محقق درباره‌ی دو آسیب‌پذیری با شناسه‌های CVE-2017-11014 و CVE-2017-11015 که در ماه جاری وصله شدند و هر دو آسیب‌پذیری سرریز حافظه‌ی هیپ بودند و همچنین درباره‌ی سه آسیب‌پذیری دیگر جزئیات فنی ارائه کرد. دو مورد از آسیب‌پذیری‌های گزارش‌شده هنوز وصله نشده‌اند.

تمام ۹ آسیب‌پذیری وصله‌شده در سطح وصله‌ی امنیتی ۲۰۱۷٫۱۱٫۰۶ با حمله‌ی KRACK که ماه گذشته افشاء شده است، مرتبط بوده‌اند. به طور مختصر، KRACK یک روش حمله است که از اشکالات موجود در پروتکل WPA2 که شبکه‌های وای‌فای جدید را ایمن می‌کند، بهره‌برداری می‌کند. این شیوه به یک مهاجم اجازه می‌دهد تا به اطلاعاتی که فرض می‌شود رمزنگاری شده‌اند، دسترسی پیدا کند و حتی آن‌ها را تغییر دهد.

 

محصولات صنعی نیز در برابر حملات KRACK آسیب‌پذیر هستند. پس از آشکار شدن این حملات، شرکت‌های مختلف شروع به انتشار وصله‌هایی برای این آسیب‌پذیری کردند. هفته‌ی گذشته اپل با انتشار به‌روزرسانی‌های امنیتی این آسیب‌پذیری‌ها را در چندین محصول خود وصله کرد.

 

 

از اکتبر سال ۲۰۱۷ میلادی، گوگل شروع به انتشار یک بولتن جداگانه برای دستگاه‌های نکسوس و پیکسل کرد، تا فقط آسیب‌پذیری‌های موجود در این دستگاه‌ها را وصله کند.

نسخه‌ی نوامبر ۲۰۱۷ بولتن امنیتی نکسوس/پیکسل، حاوی وصله‌هایی برای بیش از ۵۰ آسیب‌پذیری بود که مولفه‌هایی مانند چارچوب، چارچوب رسانه، زمان اجرا، سامانه، و هسته، مدیاتک، NVIDIA، و مولفه‌های Qualcomm را تحت تاثیر قرار می‌دادند. اکثر این آسیب‌پذیری‌ها دارای درجه‌بندی شدت متوسط بودند، اما برخی از آن‌ها دارای خطر بالایی هستند.

در ماه جاری، گوگل به طور عمده آسیب‌پذیری‌های مربوط به اعطاء امتیاز را وصله کرد، اما همچنین اشکالات افشاء اطلاعات، و آسیب‌پذیری‌های اجرای کد از راه دور، و اشکال منع سرویس توزیع‌شده‌ی زیادی را نیز رفع کرد.

علاوه‌بر این وصله‌های امنیتی، به‌روز‌رسانی گوگل همچنین شامل وصله‌هایی برای برخی از مسائل مربوط به عملکرد برای دسته‌هایی مانند صدا، بلوتوث، دوربین، داده‌های تلفن همراه، و ثبت برنامه نیز بود.

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید