Uwaga! Musisz być bardziej ostrożny podczas otwierania na smartfonie pliku obrazu, który otrzymałeś z Internetu lub za pośrednictwem wiadomości lub aplikacji e-mail.
ΝZa pomocą tylko jednego obrazu Twój smartfon z Androidem może wykonać złośliwy kod ukryty w pliku obrazu, dzięki trzem niedawno zidentyfikowanym krytycznym lukom w zabezpieczeniach, które dotykają miliony urządzeń z nawet najnowszymi wersjami systemu operacyjnego Google, od Androida 7.0 Nougat do obecnego Androida 9.0 Ciasto.
Luki zidentyfikowane jako CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988 zostały naprawione przez Google w systemie Android Open Source (AOSP) w ramach aktualizacji zabezpieczeń systemu Android.
Jednak ponieważ nie każdy producent urządzeń mobilnych rozpowszechnia aktualizacje zabezpieczeń co miesiąc, trudno jest określić, czy Twoje urządzenie z Androidem otrzyma te aktualizacje zabezpieczeń wkrótce, zanim padniesz ofiarą tej luki.
Chociaż inżynierowie Google nie ujawnili jeszcze szczegółów technicznych wyjaśniających te luki, aktualizacje dziennika zmian nazywają je poprawkami „przepełnienia bufora”, „błędami SkPngCodec” i błędami związanymi z PNG.
Według Google jedna z trzech luk, które Google uważa za najpoważniejszą, może pozwolić złośliwemu plikowi obrazu Portable Network Graphics (.PNG) na wykonanie złośliwego kodu na podatnych na ataki urządzeniach z Androidem. Według Google „najpoważniejszy z tych problemów to krytyczna luka w zabezpieczeniach, która może pozwolić zdalnemu intruzowi na użycie specjalnie przetworzonego pliku PNG do wykonania złośliwego kodu jako administrator systemu”.
Zdalny intruz może wykorzystać tę lukę, po prostu prosząc użytkowników na różne sposoby o otwarcie pliku obrazu PNG (niemożliwego do wykrycia gołym okiem) na ich urządzeniach, który otrzymali za pośrednictwem usługi przesyłania wiadomości lub aplikacji.
Wliczając te trzy błędy, Google naprawił łącznie 42 luki w zabezpieczeniach swojego systemu operacyjnego Android, z których 11 jest krytycznych, 30 wysokiego ryzyka i jedna umiarkowana.
Google powiedział, że nie ma doniesień o aktywnym wykorzystywaniu lub poważnym nadużywaniu którejkolwiek z luk wymienionych w lutowym biuletynie bezpieczeństwa.
Google powiedział również, że powiadomił swoich partnerów o wszystkich lukach na miesiąc przed publikacją, dodając, że „kod źródłowy tych problemów zostanie udostępniony w pamięci AOSP (Android Open Source Project) w ciągu najbliższych 48 godzin”.
[the_ad_group id = ”966 ″]
