انتشار بهروزرسانی امنیتی ماه مارس سال 2019 گوگل
گوگل در بهروزرسانی ماه مارس سال 2019 خود، 11 نقص بحرانی را وصله کرده است. از میان این 11 نقص بحرانی، گوگل سه نقص اجرای کد راه دور، شامل دو آسیبپذیری بحرانی چارچوب رسانهای (CVE-2019-1989، CVE-2019-1990) که Android 7.0 و نسخههای پس از آن را تحتتأثیر قرار میدهد را وصله کرده است. هیچ اطلاعات CVE در مورد این آسیبپذیری ها در دسترس نیست؛ اما با توجه به توصیفات فنی منتشرشده راجع به این دو آسیبپذیری در وبسایت LineageOS Project، هر دوی اینها وابسته به دستورات API کنترل ویدیوی اندروید هستند. سومین آسیبپذیری بحرانی (CVE-2019-2009) که بر سیستم هستهای اندروید (نسخه 7 و بعد از آن) تأثیر می گذارد، مربوط به مؤلفه بلوتوث "l2c_lcc_proc_pdu" است. اطلاعات CVE برای این نقص نیز موجود نیست؛ اما جزئیات فنی نشان میدهد که این اشکال مربوط به پشته بلوتوث اندروید است. بردارهای حمله پیشین مربوط به "l2c_lcc_proc_pdu"، شامل حملات افزایش امتیاز از طریق بلوتوث هستند که در نتیجه نقص نوشتن خارج از محدوده ایجاد میشود. به گفتهی گوگل، نقص نوشتن خارج از محدوده به دلیل نبود محدودیت بررسی است. این امر میتواند منجر به یک افزایش امتیاز راهدور از طریق بلوتوث شود بدون آنکه نیازی به هیچگونه مجوز اضافی باشد. برای سوءاستفاده از این آسیبپذیری، نیازی به تعامل کاربر نیست. هشت آسیبپذیری بحرانی دیگر در اجزای Qualcomm وجود دارند. دو مورد از این اشکالات مربوط به یک CVE هستند (CVE-2017-8252). این نقص، یک آسیبپذیری «افشای اطلاعات» محلی در TrustZone اندروید (بخش ویژه ای از هستهی اندورید که سیستم عامل خود را اجرا میکند) است. هر دوی این نقصها مربوط به یک تراشه Qualcomm خاص به نام پردازندهی سیگنال دیجیتال هستند. سامسونگ به طور جداگانه هفت آسیب پذیری بحرانی را رفع کرده است. سه وصلهی منتشرشده توسط سامسونگ برای آسیبپذیریهای CVE-2019-1989، CVE-2019-1990 و CVE-2019-2009 وابسته به بهروزرسانی ماه مارس گوگل هستند. آسیب پذیریهای بحرانی دیگری که توسط سامسونگ وصله شدهاند (CVE-2018-11262، CVE-2018-11289، CVE-2018-11820، CVE-2018-11938، CVE-2018-11945)، در ماه فوریه توسط گوگل گزارش شدهاند. بهروزرسانی Google Pixel و دیگر فروشندگان تلفن (سامسونگ، ال جی و دیگران) از طریق بهروزرسانیهای هوایی (over-the-air) آغاز شده است. در مجموع ،گوگل در ماه مارس سال جاری 45 اشکال را برطرف ساخته است که 11 مورد از آنها بحرانی و 33 مورد با شدت بالا رتبهبندی شدهاند. آسیبپذیری افزایش امتیاز با احتساب 21 اشکال ، غالب اشکالات رفعشده در بهروزرسانی ماه مارس سال 2019 بوده است.