Bản cập nhật bảo mật Android tháng 11 vá lỗ hổng RCE

Google vừa phát hành bản cập nhật bảo mật Android tháng 11 vá lỗ hổng thực thi mã từ xa RCE và các lỗ hổng leo thang đặc quyền, Hồi tháng 10 vừa qua, Alphabet, công ty mẹ của Google vô tình phát hành phiên bản xem trước của bản cập nhật cho ít nhất một người dùng Google Pixel, Bản cập nhật OTA được phát triển để sử dụng nội bộ.
Google vá 2 lỗ hổng thực thi mã Android nghiêm trọng
Apple vá lỗ hổng Zero-day thứ 8 được khai thác tích cực trên iPhone và Mac
Google phát hành bản vá lỗi bảo mật cho thiết bị Pixel và Nexus
Google phát hành bản vá bảo mật Android tháng 7/2018
WhatsApp vá lỗ hổng bảo mật trong cuộc gọi video

RCEEoP được đánh giá là các lỗ hổng quan trọng

Cho đến khi các nhà sản xuất điện thoại và các nhà khai thác mạng di động phát hành các bản vá Android Endpoint mới nhất cho người dùng, một lỗ hổng RCE quan trọng được phát hiện, được đánh dấu là CVE-2018-9527 ảnh hưởng đến các phiên bản từ Android 7.0 (Nougat) đến Android 9.0 (Pie).

=> Tham khảo cách tăng cường bảo mật cho Android tại đây.

Ngoài ra lỗ hổng RCE khác, cụ thể là CVE-2018-9531 cũng được đánh giá là lỗ hổng quan trọng, tuy nhiên lỗ hổng này chỉ ảnh hưởng đến Android Nougat. Cả 2 lỗ hổng này nằm trong Media Framework của hệ điều hành, cho phép kẻ tấn công có thể chạy mã tùy ý trên hệ thống trong bối cảnh một process đặc quyền.

Các lỗ hổng leo thang đặc quyền khác cũng được đánh giá là nghiêm trọng được xác định là CVE-2018-9536CVE-2018-9537, ảnh hưởng đến phiên bản Android Nougat.

Lỗ hổng rò rỉ thông tin

Một trong số 6 lỗ hổng bảo mật được khai thác để làm rõ rỉ thông tin từ hệ thống Android, được đánh giá là lỗ hổng nghiêm trọng. Chúng có thể khai thác từ xa và có thể làm rò rỉ các dữ liệu có thể truy cập các ứng dụng được cài đặt cục bộ theo đặc quyền.

Một nửa trong số các lỗ hổng này ảnh hưởng đến nhiều phiên bản Android (từ phiên bản Nougat đến phiên bản Pie), một nửa còn lại chỉ ảnh hưởng đến các phiên bản Android mới nhất.

Lỗ hổng bảo mật trong các thành phần của Qualcomm

Google cũng liệt kê 14 lỗ hổng bảo mật khác nhau được phát hiện trong các thành phần của Qualcomm. Thông tin chi tiết có sẵn trong Security Bulletin tháng 11 của Qualcomm, 3 trong số các lỗ hổng được đánh giá cực kỳ nghiêm trọng, cụ thể:

- CVE-2017-18317 ảnh hưởng đến Trusted Execution Environment (TEE), cho phép bỏ qua các hạn chế liên quan đến modem (khóa SIM, vô hiệu hóa SIM).
- CVE-2018-5912 là lỗi tràn bộ đệm trong thành phần video.
- CVE-2018-11264 ảnh hưởng đến các thành phần sinh trắc học trong nhiều chipset Qualcomm, có thể gây ra lỗi tràn bộ đệm trong mã vân tay.

Lỗi bảo mật trên thư viện Libxaac

Trong Android Security Bulletin, Google cũng thông báo rằng thư viện thử nghiệm Libxaac để nén và giải mã đa phương tiện không còn được tích hợp trong các bản build Android nữa.

Lý do là bởi vì hãng đã phát hiện ra khoảng 18 lỗi bảo mật trong thư viện. Thư viện sẽ bị xóa khỏi trên các thiết bị sau khi người dùng cài đặt bản cập nhật bảo mật mới nhất của Android.

Sử dụng Google để tìm kiếm dữ liệu internet ngay trên điện thoại của bạn bằng cách

- Download Google cho Android
- Download Google cho iPhone

Google phát hành bản vá bảo mật Android tháng 12, sửa nhiều lỗi trên Pixel 3
Twitter xác nhận lỗ hổng bảo mật làm lộ dữ liệu chủ tài khoản ẩn danh
Cách cập nhật iOS 15.6.1 mới nhất
Bản vá bảo mật tháng 1/2020 đã được tung ra cho Google Pixel, factory images & OTAs live
Apple tung các bản cập nhật macOS, iOS và iPadOS vá lỗi được khai thác tích cực

APPS LIÊN QUAN

ĐỌC NHIỀU