رفع 26 آسیبپذیری امنیتی در بهروزرسانی امنیتی ماه اوت سال 2019 اندروید
گوگل با انتشار وصله امنیتی اندرویدی ماه اوت 2019، انواع آسیبپذیریهایی که به تازگی کشف شدهاند را برطرف ساخته است. این وصله امنیتی برای تمامی سیستمعاملهای تلفن همراه که اندروید 9 “Pie” را اجرا میکنند، در دسترس است. وصله امنیتی ماه اوت سال 2019 اندروید، شامل دو سطح وصلهی امنیتی 2019-08-01 و 2019-08-05 است که 26 آسیبپذیری موجود در Android runtime، Media framework، Framework و اجزای سیستمی اندروید و همچنین ترکیبات Broadcom و Qualcomm را برطرف میسازد. شدیدترین آسیبپذیری از میان آسیبپذیریهای رفعشده، یک آسیبپذیری امنیتی بحرانی در اجزای سیستمی است که به مهاجم راهدور اجازه میدهد با استفاده از یک فایل ساختگی خاص PAC، کد دلخواه را در متن یک فرایند ممتاز اجرا سازد. ارزیابی شدت این آسیبپذیری بر اساس تأثیری است که سوءاستفاده از آن ممکن است بر روی دستگاه آسیبپذیر داشته باشد. تاکنون گزارشی مبنی بر سوءاستفاده از این آسیبپذیری منتشر نشده است. آسیبپذیری موجود در Android runtime با شناسهی CVE-2019-2120 ردیابی میشود و از نظر شدت «بالا» رتبهبندی شده است. سوءاستفاده از این آسیبپذیری، به یک مهاجم داخلی اجازه میدهد الزامات تعامل کاربر را جهت دسترسی به مجوزهای بیشتر دور بزند. در FrameWork، سه آسیبپذیری با شناسههای CVE-2019-2121 با شدت «بالا»، CVE-2019-2122 با شدت «بالا» و CVE-2019-2125 با شدت «متوسط» وجود دارد که در وصلهی امنیتی ماه اوت برطرف شدهاند. شدیدترین آسیبپذیری در این بخش، برنامه کاربردی مخرب داخلی را قادر میسازد بااستفاده از یک فایل ساختگی خاص کد دلخواه را در متن یک فرایند ممتاز اجرا سازد. آسیبپذیریهای موجود در Media framework که در وصله امنیتی ماه اوت در سطح وصله امنیتی 2019-08-01 برطرف شدهاند عبارتند از CVE-2019-2126 با شدت «بالا»، CVE-2019-2127 با شدت «بالا»، CVE-2019-2128 با شدت «بالا» و CVE-2019-2129 با شدت «بالا». شدیدترین آسیب پذیری در این بخش، مهاجم راه دور را قادر میسازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص در متن یک فرایند غیرممتاز اجرا سازد. آسیبپذیریهای موجود در بخش اجزای سیستمی اندروید عبارتند از CVE-2019-2130 با شدت «بحرانی»، CVE-2019-2131 با شدت «بالا»، CVE-2019-2132 با شدت «بالا»، CVE-2019-2133 با شدت «بالا»، CVE-2019-2134 با شدت «بالا»، CVE-2019-2135 با شدت «بالا»، CVE-2019-2136 با شدت «بالا» و CVE-2019-2137 با شدت «بالا». شدیدترین آسیبپذیری در این بخش، مهاجم راه دور را قادر می سازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص PAC در متن یک فرایند ممتاز، اجرا نماید. این آسیبپذیری، شدیدترین آسیبپذیری از میان آسیبپذیریهای رفعشده در این وصله امنیتی است. آسیبپذیری موجود در اجزای Broadcom، یک آسیبپذیری بحرانی با شناسهی CVE-2019-11516 در بخش بلوتوث دستگاه است که مهاجم راهدور را قادر میسازد بااستفاده از یک انتقال ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا نماید. آسیبپذیریهای موجود در اجزای Qualcomm عبارتند از: • CVE-2019-10492 با شدت «بحرانی» در بخش HLOS، • CVE-2019-10509 با شدت «بالا» در بخش BTHOST، • CVE-2019-10510 با شدت «بالا» در بخش BTHOST، • CVE-2019-10499 با شدت «بالا» در بخش MProc، • CVE-2019-10538 با شدت «بالا» در بخش WLAN. آسیبپذیریهای موجود در اجزای متنبستهی (closed-source) Qualcomm که در وصله امنیتی ماه اوت سال 2019 اندورید برطرف شدهاند عبارتند از CVE-2019-10539 با شدت «بحرانی»، CVE-2019-10540 با شدت «بحرانی»، CVE-2019-10489 با شدت «بالا» و CVE-2019-2294 با شدت «بالا». وصله امنیتی ماه اوت سال 2019 اندورید، همچنین رفع نقص امنیتی و بهبودهایی برای تمامی دستگاههای Pixel تحت پشتیبانی، به همراه آورده است. سه آسیبپذیری CVE-2019-10538، CVE-2019-10539 و CVE-2019-10540 که مربوط به اجزای Qualcomm و اجزای متنبستهی Qualcomm هستند، در دستگاه Pixel وجود دارند. یکی از بهبودهای ارائهشده، مربوط به حالت sleep گوشیهای هوشمند Pixel 3a و Pixel 3a XL است. تنظیمات شبکهی وایفای برای دستگاههای Pixel، Pixel XL، Pixel 2، Pixel 2 XL، Pixel 3 XL، Pixel 3a XL و همچنین ثبات CaptivePortalLogin وایفای نیز در این وصله امنیتی بهبود یافتهاند. وصله امنیتی ماه اوت سال 2019، برای تمامی دستگاههای Pixel پشتیبانی شده منتشر شده است و به زودی برای دیگر گوشیهای هوشمند اندرویدی سایر تولیدکنندگان نیز منتشر میشود. لازم است تمامی کاربران در اولین فرصت دستگاههای خود را بهروزرسانی کنند.