مرکز آپا دانشگاه کردستان

آسیب‌پذیری چندگانه اجرای کد دلخواه در سیستم عامل اندروید گوگل

شناسه‌ی MS-ISAC : 051-2018 تاریخ انتشار: 2018/05/08 آسیب‌پذیری چندگانه در سیستم‌عامل اندروید گوگل کشف شده است که موارد بحرانی از این آسیب‌پذیری‌ها اجازه اجرای کد دلخواه را خواهند داد. اندروید یک سیستم عامل ارائه شده توسط گوگل برای دستگاه‌های موبایل است که شامل، اما نه محدود به، گوشی‌های هوشمند، تبلت‌ها و ساعت‌ها است. بهره‌برداری موفق از بسیاری از این آسیب‌پذیری‌ها موجب اجرای کدهای دلخواه برای ارتقای سطح دسترسی مهاجم خواهد بود. بر اساس مجوزهای داده شده، مهاجم می‌تواند برنامه‌ها را نصب کند؛ داده‌ها را مشاهده کند و یا آن‌ها را تغییر دهد یا حذف نماید و یا (حتی) حساب‌های کاربری با حقوق کامل کاربر را ایجاد نماید. اگر اپلیکیشن بر روی سیستم با سطح دسترسی کاربری کمتری پیکربندی شود، در مقایسه با زمانی‌که با دسترسی کاربری ادمین پیکربندی شده باشد، این آسیب‌پذیری‌ها تاثیر کمتری خواهند داشت. درجه‌ ریسک برای دولت‌ها: • برای دولت‌ها با اندازه‌ی متوسط و بزرگ: بالا • برای دولت‌ها با اندازه‌ی کوچک: بالا برای تجارت‌‌ها: • برای تجارت‌های متوسط و بزرگ: بالا • برای تجارت‌های کوچک: بالا برای کاربران: بالا جزئیات این آسیب‌پذیری‌ها در زیر داده‌ شده‌است: • آسیب‌پذیری افشای اطلاعات در زمان اجرای اندروید (CVE-2017-13309) • آسیب‌پذیری‌های ارتقاء مجوز (CVE-2017-13310, CVE-2017-13311) • آسیب‌پذیری‌های افشای اطلاعات در مولفه‌های هسته (CVE-2017-16643, CVE-2017-5754) • آسیب‌پذیری ارتقاء مجوز در چارچوب رسانه (CVE-2017-13312) • آسیب‌پذیری منع سرویس در چارچوب رسانه (CVE-2017-13313) • آسیب‌پذیری افشای اطلاعات در مولفه‌های NVIDIA (CVE-2017-5715) • آسیب‌پذیری‌های ارتقاء مجوز در مولفه‌های NVIDIA (CVE-2017-6289, CVE-2017-6293) • آسیب‌پذیری‌های ارتقاء امتیاز در مولفه‌های کوالکام (CVE-2017-13077, CVE-2017-18154, CVE-2018-3562, CVE-2018-3565, CVE-2018-3578, CVE-2018-5840, CVE-2018-5841, CVE-2018-5845, CVE-2018-5846, CVE-2018-5850) • آسیب‌پذیری کد دلخواه در مولفه‌های کوالکام (CVE-2018-3580) • آسیب‌پذیری‌های ارتقاء مجوز در سیستم (CVE-2017-13314, CVE-2017-13315) موارد زیر برای مقابله با این آسیب‌پذیری‌ها توصیه می‌شود: • به روز‌رسانی‌های مناسب توسط گوگل اندروید و یا عامل‌های موبایل را برای سیستم‌های آسیب‌پذیر، که بعد از یک تست مناسب فراهم شده است، اعمال کنید. • به کاربران یادآوری نمایید که برنامه‌ها را از فروشنده‌های معتبر از پلی استور دریافت نمایند. • به کاربران یادآوری نمایید که از وب‌سایت‌های غیرمعتبر استفاده نکنند یا لینک‌های ارائه‌شده توسط منابع ناشناخته یا غیر‌معتبر را دنبال نکنند. • به کاربران آموزش دهید که به خطرهای ناشی از لینک‌های موجود در ایمیل‌ها یا پیوست‌ها به ویژه از منابع غیرقابل اعتماد توجه کنند.