[Atnaujinimas: pataisytas] Aktyviai išnaudojamas nulinės dienos pažeidžiamumas, rastas „Google Pixel“, „Huawei“, „Xiaomi“, „Samsung“ ir kituose įrenginiuose

Xda Naujienų SantraukaNov 09, 2023
click fraud protection

„Project Zero“ tyrėjai rado aktyviai išnaudojamą nulinės dienos saugos pažeidžiamumą, kuris pažeidžia „Google Pixel“ įrenginius ir kitus! Skaityk!

Atnaujinta 10/10/19, 3:05 ET: Nulinės dienos „Android“ pažeidžiamumas buvo pataisytas su 2019 m. spalio 6 d. saugos pataisa. Norėdami gauti daugiau informacijos, slinkite į apačią. Straipsnis, paskelbtas 2019 m. spalio 6 d., išsaugomas taip, kaip nurodyta toliau.

Saugumas buvo vienas iš svarbiausi prioritetai naujausiuose „Android“ naujinimuose, šifravimo, leidimų ir su privatumu susijusio tvarkymo patobulinimai ir pakeitimai yra kai kurios antraštės funkcijos. Kitos iniciatyvos, pvz „Project Mainline“, skirta „Android 10“. siekiama paspartinti saugos naujinimus, kad „Android“ įrenginiai būtų saugesni. „Google“ taip pat rūpestingai ir punktuali naudojo saugos pataisas, ir nors šios pastangos yra pagirtinos, tokiose operacinėse sistemose kaip Android visada išliks galimybių išnaudojimui ir pažeidžiamumui. Kaip paaiškėjo, užpuolikai tariamai aktyviai naudojasi nulinės dienos „Android“ pažeidžiamumu. leidžia perimti visišką tam tikrų telefonų valdymą iš Google, Huawei, Xiaomi, Samsung ir kitų.

Google Projektas nulis komanda turi atskleista informacija apie nulinės dienos „Android“ išnaudojimą, kurio aktyvus naudojimas priskiriamas prie NSO grupė, nors NSO atstovai neigė, kad naudoja tą patį į ArsTechnica. Šis išnaudojimas yra branduolio privilegijų eskalavimas, kuris naudoja a naudoti po nemokamai pažeidžiamumą, leidžiantį užpuolikui visiškai pažeisti pažeidžiamą įrenginį ir jį pašalinti. Kadangi išnaudojimą taip pat galima pasiekti iš „Chrome“ smėlio dėžės, jį taip pat galima pateikti žiniatinklyje yra susietas su išnaudojimu, kuris nukreiptas į „Chrome“ kodo, naudojamo atvaizduoti, pažeidžiamumą turinys.

Paprasčiau tariant, užpuolikas gali įdiegti kenkėjišką programą paveiktuose įrenginiuose ir pasiekti root teisę be vartotojo žinios, ir, kaip mes visi žinome, kelias po to visiškai atsiveria. Ir kadangi jį galima susieti su kitu išnaudojimu „Chrome“ naršyklėje, užpuolikas taip pat gali tai padaryti kenkėjiška programa per interneto naršyklę, todėl nebereikia fizinės prieigos prie prietaisas. Jei tai jums atrodo rimta, tai tikrai taip yra – „Android“ pažeidžiamumas buvo įvertintas kaip „didelis sunkumas“. Dar blogiau, kad šis išnaudojimas reikalauja nedaug pritaikymo kiekvienam įrenginiui arba visai jo nereikia, o „Project Zero“ tyrėjai taip pat turi įrodymų, kad išnaudojimas naudojamas laukinėje gamtoje.

Pažeidžiamumas, matyt, buvo pataisytas 2017 m. gruodžio mėn Linux branduolio 4.14 LTS leidimas bet be sekimo CVE. Tada pataisymas buvo įtrauktas į versijas 3.18, 4.4, ir 4.9 „Android“ branduolio. Tačiau pataisa nepateko į „Android“ saugos naujinimus, todėl keli įrenginiai buvo pažeidžiami dėl šios klaidos, kuri dabar stebima kaip CVE-2019-2215.

„Nebaigtinis“ įrenginių, kurie buvo paveikti, sąrašas yra toks:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • „Google Pixel 2 XL“.
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Priešingai A3
  • Moto Z3
  • LG telefonai su Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Tačiau, kaip minėta, tai nėra baigtinis sąrašas, o tai reiškia, kad greičiausiai taip pat bus ir keli kiti įrenginiai buvo paveikti šio pažeidžiamumo, nepaisant to, kad „Android“ saugos naujinimai yra tokie pat nauji kaip ir rugsėjo mėn 2019. Teigiama, kad „Google Pixel 3“ ir „Pixel 3 XL“ bei „Google Pixel 3a“ ir „Pixel 3a XL“ yra apsaugoti nuo šio pažeidžiamumo. Paveiktų „Pixel“ įrenginių pažeidžiamumas bus pataisytas artėjančiame 2019 m. spalio mėn. „Android“ saugos naujinime, kuris turėtų pasirodyti po dienos ar dviejų. „Android“ partneriams buvo suteikta pataisa, „siekiant užtikrinti, kad Android ekosistema būtų apsaugota nuo problemos“, tačiau matydami, kaip neatsargūs ir neatsargūs tam tikri originalios įrangos gamintojai žiūri į atnaujinimus, nesulaikytume kvėpavimo, kad laiku gautume pataisymą būdas.

„Project Zero“ tyrimų komanda pasidalijo vietiniu koncepcijos įrodymu, kad parodytų, kaip ši klaida gali būti naudojama norint gauti savavališką branduolio skaitymą / rašymą, kai jis veikia vietoje.

„Project Zero“ tyrimų komanda pažadėjo būsimame tinklaraščio įraše pateikti išsamesnį klaidos paaiškinimą ir metodiką, kaip ją nustatyti. ArsTechnica laikosi nuomonės, kad yra labai maža tikimybė, kad jį išnaudos tokios brangios ir tikslinės atakos kaip ši; ir kad vartotojai vis tiek turėtų susilaikyti diegdami neesmines programas ir naudoti ne „Chrome“ naršyklę, kol nebus įdiegta pataisa. Mūsų nuomone, pridurtume, kad taip pat būtų protinga pasidomėti 2019 m. spalio mėn. jūsų įrenginio saugos pataisa ir ją kuo greičiau įdiegti.

Šaltinis: Projektas nulis

Istorija per: ArsTechnica

Atnaujinimas: Nulinės dienos „Android“ pažeidžiamumas buvo pataisytas su 2019 m. spalio mėn. saugos naujinimu

CVE-2019-2215, kuris yra susijęs su pirmiau minėtu branduolio privilegijų padidinimo pažeidžiamumu buvo pataisytas su 2019 m. spalio mėn. saugos pataisa, konkrečiai su saugos pataisos lygiu 2019-10-06, kaip buvo žadėta. Jei jūsų įrenginyje yra saugos naujinimas, primygtinai rekomenduojame jį įdiegti kuo anksčiau.

Šaltinis: Android saugos biuletenis

Per: Twitter: @maddiestone