‫ انتشار به‌روزرسانی امنیتی ماه مارس سال 2019 گوگل

‫ انتشار به‌روزرسانی امنیتی ماه مارس سال 2019 گوگل

‫گوگل در به‌روزرسانی ماه مارس سال 2019 خود، 11 نقص بحرانی را وصله کرده است. از میان این 11 نقص بحرانی، گوگل سه نقص اجرای کد راه دور، شامل دو ‫آسیب‌پذیری بحرانی چارچوب رسانه‌ای (CVE-2019-1989، CVE-2019-1990) که Android 7.0 و نسخه‌های پس از آن را تحت‌تأثیر قرار می‌دهد را وصله کرده است. هیچ اطلاعات CVE در مورد این آسیب‌پذیری ها در دسترس نیست؛ اما با توجه به توصیفات فنی منتشرشده راجع به این دو آسیب‌پذیری در وب‌سایت LineageOS Project، هر دوی این‌ها وابسته به دستورات API کنترل ویدیوی اندروید هستند. سومین آسیب‌پذیری بحرانی (CVE-2019-2009) که بر سیستم هسته‌ای اندروید (نسخه 7 و بعد از آن) تأثیر می گذارد، مربوط به مؤلفه‌ بلوتوث "l2c_lcc_proc_pdu" است. اطلاعات CVE برای این نقص نیز موجود نیست؛ اما جزئیات فنی نشان می‌دهد که این اشکال مربوط به پشته‌ بلوتوث اندروید است. بردارهای حمله‌ پیشین مربوط به "l2c_lcc_proc_pdu"، شامل حملات افزایش امتیاز از طریق بلوتوث هستند که در نتیجه‌ نقص نوشتن خارج از محدوده ایجاد می‌شود. به گفته‌ی گوگل، نقص نوشتن خارج از محدوده به دلیل نبود محدودیت بررسی است. این امر می‌تواند منجر به یک افزایش امتیاز راه‌دور از طریق بلوتوث شود بدون آنکه نیازی به هیچ‌گونه مجوز اضافی باشد. برای سوءاستفاده از این آسیب‌پذیری، نیازی به تعامل کاربر نیست. هشت آسیب‌پذیری بحرانی دیگر در اجزای Qualcomm وجود دارند. دو مورد از این اشکالات مربوط به یک CVE هستند (CVE-2017-8252). این نقص، یک آسیب‌پذیری «افشای اطلاعات» محلی در TrustZone اندروید (بخش ویژه ای از هسته‌ی اندورید که سیستم عامل خود را اجرا می‌کند) است. هر دوی این نقص‌ها مربوط به یک تراشه‌ Qualcomm خاص به نام پردازنده‌ی سیگنال دیجیتال هستند. سامسونگ به طور جداگانه هفت آسیب پذیری بحرانی را رفع کرده است. سه وصله‌ی منتشرشده توسط سامسونگ برای آسیب‌پذیری‌های CVE-2019-1989، CVE-2019-1990 و CVE-2019-2009 وابسته به به‌روزرسانی‌ ماه مارس گوگل هستند. آسیب پذیری‌های بحرانی دیگری که توسط سامسونگ وصله‌ شده‌اند (CVE-2018-11262، CVE-2018-11289، CVE-2018-11820، CVE-2018-11938، CVE-2018-11945)، در ماه فوریه توسط گوگل گزارش شده‌اند. به‌روزرسانی Google Pixel و دیگر فروشندگان تلفن (سامسونگ، ال جی و دیگران) از طریق به‌روزرسانی‌های هوایی (over-the-air) آغاز شده است. در مجموع ،گوگل در ماه مارس سال جاری 45 اشکال را برطرف ساخته است که 11 مورد از آن‌ها بحرانی و 33 مورد با شدت بالا رتبه‌بندی شده‌اند. آسیب‌پذیری افزایش امتیاز با احتساب 21 اشکال ، غالب اشکالات رفع‌شده در به‌روزرسانی ماه مارس سال 2019 بوده است.