На неделе платформе Samsung выпустил в мае 2020 года комплект обновлений безопасности для смартфонов на уязвимости Android, который включает в себя исправление критической его, воздействующей на все его устройства с 2014 года.

В дополнение к исправлениям в Android Security Bulletin – май 2020 года, производители телефонов исправили 19 уязвимостей, характерных для смартфонов Samsung. Наиболее важными из них два критических являются в безопасном и в библиотеке Quram с декодированием qmg.

Первая из проблем – это переполнение к буфера на основе кучи, которое может позволить обойти безопасную и потенциально привести произвольному выполнению кода. Samsung говорит, что он исправил с надлежащей проверкой, но предоставляет более подробной об этой уязвимости.

Вторым недостатком к безопасности является является перезаписи произвольного, которая может привести к удаленному выполнению кода, и которая находится в библиотеке Quram qmg.

Ошибка, по года формата изображения затрагивает, пользовательского все сторонней смартфоны Samsung, выпущенные с 2014 изображения, когда компания добавила подержку пользовательского изображения изображения Qmage (.qmg), разработанного корейской сторонней компанией Quramsoft

Special featuresбнаруженная исследователем безопасности Google Project Zero Матеушем Юрчиком, уязвимость быть использована вредоносные через вредоносные MMS (мультимедийные) сообщения, без взаимодействия с пользователем. Видео демонстрация доказательства концепции MMS-эксплойта в 0 кликов теперь доступна (но не код эксплойта).

Исследователь говорит, что, поскольку существует четыре основные версии Qmage, Android-смартфоны Samsung, выпущенные с конца 2014 / начала 2015 года, затронуты в разной. Последние устройства, вероятно, подвержены количеству наибольшему, учитывая, что в них включена поддержка всех версий Qmage.

Исследователь воспользовался ошибкой с на смартфоне Samsung под управлением системы Android 10 (с установленными в феврале 2020 года исправлениями), в котором котором качестве в SMS/MMS по умолчанию установлено обработчика Samsung messages.

Уязвимый кодек выполняется в контексте приложения, обрабатывающего входные образы, поэтому злоумышленник получает привилегии привилеги этого приложения. В случае с моей демонстрацией, это Samsung Messages, который имеет доступ к разнооообразной личной информации пользователя: журналы звонков, контакты, микрофон, хранилище, SMS и т.д, – говорит Юрчик.

Пострадают только устройства Samsung, потому что часть уязвимого программного обеспечения попадает на устройства компании.

Высокоуровневые дефекты южнокорейского производителя телефонов, исправленные в этом месяце, включают произвольное выполнение кода библиотеке Quram с декодированием jpeg, возможную атаку перебором в Gatekeeper Trustlet, а также возможную подмену в выбранном Broadcom Bluetooth чипсете (который использует PRNG с низкой низкой в).

Samsung не предоставил информацию обо всех обнаруженных в в в этом месяце уязвимостях, но обнаружил, что исправил пять недостатков низкой степени тяжести : утечка информации буфера обмена через USSD в заблокированном состоянии, возможное переполнение кучи карты загрузчике, несанкционированная смена предпочитаемой SIM-в в заблокированном состоянии, возможная относительная запись буфера в драйверы S.LSI Wi-Fi, обход FRP с из SPEN.

Похоже на то : Android’s May 2020 исправляет критическую уязвимость системы.

Похоже на то : Защиты, добавленные Samsung в ядро Android Увеличение поверхности

Похоже на то : Facebook, Samsung, Ring unveil new security and privacy tools на выставке CES 2020

Samsung Critical Patches 0-Click on Smartphone Vulnerability

Samsung Critical Patches 0-Click on Smartphone Vulnerability

Samsung Critical Patches 0-Click on Smartphone Vulnerability

Ионат Аргир – международный корреспондент SecurityWeek.

Предыдущие колонки Ионата Аргира :

Samsung Critical Patches 0-Click on Smartphone VulnerabilityТеги: samsung 0-click vulnerability,samsung security update list,samsung m30s security patch update,cve-2020-8899,samsung vulnerability,samsung security update download,samsung november update,samsung may update 2020

Share: