وصله شدن ۳۳ آسیب‌پذیری جدید توسط به‌روزرسانی‌های امنیتی اندروید برای ماه جولای ۲۰۱۹

گوگل انتشار به‌روزرسانی‌های امنیتی ماه جولای ۲۰۱۹ را برای پلت فرم سیستم‌عامل تلفن همراه خود آغاز کرده است تا به‌طورکلی ۳۳ آسیب‌پذیری امنیتی جدید را تحت تأثیر قرار دهد که روی دستگاه‌های اندروید تأثیر می‌گذارد، که ۹ مورد آن در دسته‌بندی حیاتی قرارگرفته‌اند.

این آسیب‌پذیری‌ها روی اجزای مختلف اندروید تأثیر می‌گذارند، ازجمله سیستم‌عامل اندروید، framework، کتابخانه، media framework، و همچنین اجزای Qualcomm، ازجمله اجزای closed-source.

سه مورد از این آسیب‌پذیری‌های حیاتی که در این ماه وصله شده‌اند در Media framework اندروید قرارگرفته‌اند، که شدیدترین آن‌ها می‌تواند به یک مهاجم از راه دور اجازه دهد کد دلخواه را روی یک دستگاه هدفمند با متقاعد کردن کاربران به باز کردن یک فایل موذی دستکاری‌شده‌ی خاص درزمینه‌ی یک فرایند دارای سطح دسترسی بالا اجرا کند.

این شرکت دراین‌باره می‌گوید[۱]: “ارزیابی شدت یک آسیب‌پذیری بر اساس تأثیری است که بهره‌برداری از یک آسیب‌پذیری ممکن است روی دستگاه آسیب‌پذیر داشته باشد، فرض بر این است که اقدامات پیشگیرانه‌ی امنیتی روی پلتفرم و سرویس‌ها برای اهداف پیاده‌سازی غیرفعال شده است یا با موفقیت دور زده‌شده‌اند.”

از میان هفت آسیب‌پذیری بحرانی دیگر، یکی از آن‌ها روی کتابخانه اندروید تأثیرگذار است؛ یکی روی سیستم تأثیر می‌گذارد، دو مورد در اجزای Qualcomm قرار دارد (یکی در DSP_Services و یکی در کرنل)، و سه مورد در اجزایclosed-source  در Qualcomm.

علاوه بر این، یک نقص با شدت بالا (CVE-2019-2104) در Framework اندروید می‌تواند یک برنامه موذی نصب‌شده اجازه دهد تا الزامات تعامل کاربر^(۱) را در تلاش برای دسترسی به مجوزهای اضافی به برنامه‌های موجود دور بزند.

شش آسیب‌پذیری با شدت بالا در مورد اجزای Qualcomm در WLAN Host (CVE-2019-2276، CVE-2019-2307)، WLAN Driver (CVE-2019-2305)، (CVE-2019-2278) HLOS و Audio (CVE -2019-2326، CVE-2019-2328) قرار دارند.

با توجه به گزارش امنیتی اندروید، هیچ‌یک از معایبی که در این ماه برطرف شده‌اند به‌طور عمومی افشا نشده بودند و یا در معرض بهره‌برداری در سطح اینترنت قرار نگرفته‌اند.

علاوه بر انتشار وصله‌هایی برای آسیب‌پذیری‌های امنیتی، بسته‌ی امنیتی اندروید برای جولای ۲۰۱۹ شامل رفع مشکلات مختلفی در برخی از نسخه‌های پشتیبانی شده از دستگاه‌های Pixel می‌شود.

کاربران گوشی‌های هوشمند Pixel به‌زودی به‌روزرسانی جولای را دریافت خواهند کرد، درحالی‌که دیگران باید منتظر تولیدکنندگان دستگاه‌های اندرویدی خود یا ارائه‌دهندگان خدمات برای انتشار وصله‌های امنیتی برای دستگاه‌های خود باشند.

به کاربران به‌شدت توصیه می‌شود تا آخرین به‌روزرسانی‌های امنیتی اندروید را به‌محض انتشار دانلود کنند، تا از دستگاه‌های اندرویدی خود در برابر هرگونه حمله احتمالی محافظت کنند.

منابع

[۱] https://source.android.com/security/bulletin/2019-07-01

[۲] https://thehackernews.com/2019/07/android-security-update.html

(۱) user interaction requirements