Szerző: Hlács Ferenc

2019. szeptember 6. 13:00

Fél éve nem javít a Google egy androidos zero-day sebezhetőséget

A hiba emelkedett jogosultságokat adhat a támadóknak, igaz csak ha korábban bejutottak a telefonra. A Google korábbi ígéretével ellentétben a szeptemberi androidos javítócsomagban sem orvosolta a sérülékenységet.

Súlyos androidos zero-day sebezhetőséget fedeztek fel a Trend Micro biztonsági szakértői, amellyel emelkedett jogosultságok szerezhetők az olyan készülékeken, amelyekre korábban már sikerült bejutni a támadóknak.

A sérülékenység kihasználásához tehát már szükség van bizonyos szintű hozzáférésre az eszközön, a kutatók szerint ugyanakkor elég, ha a támadó alacsony jogosultságú kódot tud azon futtatni. A hiba a valós idejű videórögzítés során használt V4L2 driverben gyökerezik, amely bizonyos objektumoknál nem végez validálást az azokkal folytatott műveletek elvégzését megelőzően. Az Ars Technica által megszólaltatott biztonsági szakértők szerint a biztonsági rés hasonlít a három évvel ezelőtt felbukkant Dirty Cow-ra, amely ugyancsak jogosultságemelkedést tett lehetővé - továbbá akárcsak a Dirty Cow, a most felfedezett sérülékenység is a kernel kódjában található, így minden androidos eszközre veszélyt jelent.

andrmalw

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Noha a sebezhetőség nem teszi lehetővé a telefonokra való bejutást, amennyiben azt más úton sikerül véghez vinnie a támadóknak, az új biztonsági rés birtokában akár teljes kontrollt is szerezhetnek a megcélzott készülékek fölött. Az androidos eszközökre pedig ma már nem csak a harmadik féltől származó alkalmazásboltokban található szoftverek jelentenek fenyegetést, a Play Store-ban is rendszeresen felbukkannak rosszindulatú alkalmazások - néhány napja egy 100 milliós letöltésszámot produkáló appba csempésztek malware-t támadók. A hasonló, a Play Store védvonalain átcsúszó kártevőket az új hiba birtokában sokkal komolyabb fegyvertárral szerelhetik fel azok fejlesztői, noha arról egyelőre nem beszéltek a szakértők, találtak-e már a sebezhetőség aktív kihasználására utaló nyomot.

A Trend Micro a hiba felfedezését követően, még idén március közepén értesítette arról a Google-t, a keresőóriás pedig június végéig ígért ahhoz javítást. Azonban mikor a biztonsági szakértők augusztusban rákérdeztek a patch állapotára, a cég arról beszélt, ezzel kapcsolatban nem tervez további frissítéseket kiadni - azóta pedig az Android szeptemberi menetrendszerű javításcsomagja is megérkezett, amely mintegy fél évvel az első bejelentést követően még mindig nem orvosolja a sebezhetőséget. Aggasztó, hogy a Google továbbra sem nyilatkozik a hiba kapcsán, amely patch hiányában rengeteg felhasználóra veszélyt jelent, a Trend Micro szerint a legújabb verziókat futtató eszközök tulajdonosait is beleértve.

Regisztrálj az ingyenes Cloud-native és DevOps tippek nagyvállatoknak konferenciára, ahol a Red Hat és az Alerant szakértői bemutatják a Kubernetes, OpenShift, microservice architektúrák gyakorlati alkalmazását!

a címlapról

privátháló

2

VPN-nel bővül a Google One

2020. október 30. 11:52

A vaskosabb előfizetésekhez a Google új, ajándék VPN szolgáltatást is hozzácsap.