Googles første sikkerhedsopdatering til Android i 2020 løser sikkerhedsfejl med 'høje og kritiske' alvorlighedsvurderinger
Googles Android-operativsystem til smartphones modtog sin første nogensinde sikkerhedsopdatering af det nye år. Googles første sikkerhedsopdatering i 2020 adresserede syv Android-fejl klassificeret som høje og kritiske. Mens antallet og sværhedsgraden muligvis ser ud til, har Android OS været bedre til at holde hackere og ondsindede kodeforfattere væk.
Googles første Android-sikkerhedsbulletin fra 2020 inkluderede en patch til en kritisk fejl i smartphone-operativsystemet. Fejlen, hvis den udføres korrekt og med succes, kan muligvis give en hacker mulighed for at udføre vilkårlig, uautoriseret og muligvis ondsindet kode. Sikkerhedsfejlen, der nu er patched, var ekstern eksekverbar. Med andre ord krævede det ikke, at hackeren var i fysisk besiddelse af Android-enheden, og det krævede ikke, at angriberen var på det samme netværk for at udføre hacket.
Fejl i Google Android 2020-sikkerhedsopdateringer Fjernudførelse af kode (RCE):
Google udstedte årets første Security Patch-opdatering til Android OS, og den indeholder beskyttelse mod en RCE-fejl (Remote Coder Execution), som var en af syv kritiske og stærke svagheder. Google Nyhedsbulletin nævner kort sårbarhederne, men tilbyder ikke detaljer på grund af sikkerhedsproblemer,
"Den mest alvorlige af disse problemer er en kritisk sikkerhedssårbarhed i Media Framework, der kan gøre det muligt for en fjernangriber, der bruger en specielt udformet fil, at udføre vilkårlig kode inden for rammerne af en privilegeret proces."
Søge-giganten, der også udvikler og vedligeholder verdens mest anvendte smartphone-operativsystem, bemærkede, at RCE-sikkerhedsfejlen, officielt mærket CVE-2020-0002 og markeret som 'Alvorlig', findes i Android's Media-ramme. Rammen inkluderer support til afspilning af en række almindelige medietyper. Det er overflødigt at tilføje, at dette udgør selve grundlaget for smartphone-multimediebrug og -forbrug, da det giver brugerne mulighed for at lytte til lyd og få adgang til video og billeder.
CVE-2020-0002 RCE-sikkerhedsfejl påvirker Android-operativsystemer version 8.0, 8.1 og 9. Selvom Google specifikt har angivet, ser den nyeste Android-version 10 stort set ud til at være immun over for fejlen. Ud over CVE-2020-0002-fejlen rettede Google også højgradig Elevation of Privilege-mangler (CVE-2020-0001, CVE-2020-0003).
Virksomheden adresserede også en fejl i Denial of Service (DoS) (CVE-2020-0004) i Android-rammen, som "kunne gøre det muligt for en lokal ondsindet applikation at omgå brugerinteraktionskrav for at få adgang til yderligere tilladelser." De resterende tre sikkerhedssårbarheder, mærket CVE-2020-0006, CVE-2020-0007, CVE-2020-0008 kunne "kunne føre til videregivelse af information uden behov for yderligere eksekveringsrettigheder."
Bortset fra disse mangler lappede Google også 29 andre sårbarheder. I øvrigt var de hovedsageligt relateret til Qualcomm-komponenter. Alvorlighedsfejlen, mærket som CVE-2019-17666, og markeret som 'kritisk', eksisterede i Qualcomm Realtek "RTLWiFi-driver". Det kan føre til angreb på fjernudførelse af kode. RTLWiFi-driveren tillader visse Realtek Wi-Fi-moduler at kommunikere inden for og med de enheder, der kører Linux-operativsystemet.
Den sidste Google-sikkerhedsopdatering fra 2019 lappede tre sårbarheder med kritisk sværhedsgrad i Android-operativsystemet. Den implementerede Android-sikkerhedsbulletin fra december 2019 fik i alt 15 sårbarheder, der blev spredt under kritisk, høj og medium sværhedsgrad.