`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Вышло подробное исследование двух критических уязвимостей Android/Qualcomm

+11
голос

Вышло подробное исследование двух критических уязвимостей Android/Qualcomm

Zimperium, чья команда zLabs первой обнаружила две критические уязвимости устройств на Android с чипсетами Qualcomm, теперь, после выхода соответствующих патчей, опубликовала на GitHub концептуальный код эксплойтов и поделилась с широкой общественностью детальной информацией об этих ошибках, угрожающих безопасности огромного количества Android-смартфонов.

Первая уязвимость, CVE-2019-14041, это так называемая проблема конкуренции (race condition), традиционная ошибка порядка выполнения, допускаемая при проектировании многопоточных систем или приложений. Она связана с функцией обновления буфера, которая отправляется с указателями в TrustZone.

Вторая уязвимость, CVE-2019-14040, это ошибка типа «используй свободно» (use-after-free), которая вызвана некорректным отображением ядра в динамическую память, из-за чего доступ к чтению/записи и отображению в память могут получить не только процессы пользовательского пространства.

Исследователи говорят, что вредоносные приложения, атакующие эти уязвимости в одной цепочке с более ранними (CVE-2017-13253, CVE-2018-9411 и CVE-2018-9539), могут захватывать корневые (root) полномочия для кражи конфиденциальных и идентификационных данных, установки дополнительных программ и скрытного наблюдения с прослушиванием частных звонков, контролем над встроенными камерой и микрофоном.

«Теоретически, не имеющий никаких полномочий злоумышленник может создать цепочку из этих уязвимостей и получить полные root-привилегии», — утверждает zLabs.

В связи с публикацией Zimperium спикер Qualcomm вчера заявил: «Мы выпустили исправления для OEM в ноябре 2019 года и не обнаружили никаких доказательств эксплуатации (этих уязвимостей). Мы благодарим исследователей безопасности за следование отраслевым практикам скоординированного раскрытия информации и призываем конечных пользователей обновлять свои устройства по мере появления патчей от OEM-производителей».


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+11
голос

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT