Google, Android'deki kritik Wi-Fi ve medya işleme kusurlarını düzeltti

Google, Android'de on üç yeni güvenlik açığını yatırarak, saldırganların aynı kablosuz ağda bulunan Android cihazların kontrolünü ele geçirmesine olanak verebilir. Cihazlarda Broadcom çipleri varsa.

İki kritik güvenlik açığı Broadcom Wi-Fi sürücüsünde bulunur ve etkilenen cihazlara özel hazırlanmış kablosuz kontrol paketleri göndererek kullanılabilir. Bu mesajlar çekirdeğin belleğini bozabilir ve işletim sistemindeki en yüksek ayrıcalıklı alan olan çekirdekte isteğe bağlı kodun yürütülmesine izin verebilir.

Bu kusurlar kritiktir çünkü saldırı herhangi bir kullanıcı etkileşimi gerektirmez, uzaktan kullanılabilir

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımlar nasıl giderilir]

Qualcomm'un Wi-Fi yongaları için sürücü de, keyfi kod çalıştırmasıyla sonuçlanabilecek kritik bir güvenlik açığına sahipti. çekirdek ayrıcalıkları. Ancak, yalnızca yerel olarak yüklenmiş bir uygulama tarafından kullanılabilir.

Son olarak, Wi-Fi bileşeninde üçüncü bir güvenlik açığı bulunuyordu ve sistem ayrıcalıklarıyla kod yürütmek için yerel bir uygulama tarafından kullanılabilir. Bu güvenlik açığı yüksek olarak derecelendirildi.

Google'ın yeni yamaları, ses ve video dosyası ayrıştırmalarını işleyen bir bileşen olan mediaserver'daki iki önemli uzaktan kod yürütme güvenlik açığını, ARM işlemcileri için Qualcomm'un performans olay yöneticisi bileşenindeki önemli bir kusuru ve bir Hata ayıklayıcı daemon bileşeni.

Qualcomm performans modülündeki ve Debuggerd'deki güvenlik açıkları yerel uygulamalar tarafından kullanılabilir ve mediaserver'daki kusur, web sitelerinden yüklenen veya multimedya mesajlarına gömülü özel hazırlanmış medya dosyaları aracılığıyla kullanılabilir.

Şirket ayrıca mediaserver ve libmediaplayerservice dahil olmak üzere kütüphanelerde sabit yüksek etkili güvenlik açıkları ve kurulum sihirbazındaki iki orta düzey kusur. Bu kusurlar hizmet reddine, bilginin açığa çıkmasına, ayrıcalık yükselmesine ve güvenlik baypaslarına yol açabilir.

Google bu ortaklar hakkında 4 Ocak'taki OEM iş ortaklarıyla ilgili bilgileri paylaştı ve Nexus cihazları için Pazartesi günü ürün yazılımı güncellemelerini yayınladı. Bu düzeltmeleri içeren Android ürün yazılımı 1 Şubat 2016 veya daha sonraki bir sürümde güvenlik düzeltme eki dizisine sahip olmalıdır.

Şirket ayrıca, CyanogenMod gibi diğer Android tabanlı işletim sistemlerinin tümleştirilebilmesi için bu yamaları Android Açık Kaynak Projesine de yayınlayacaktır. onlar.