Компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей.
Останні, як завжди, розділені на дві групи: проблеми, актуальні для всіх Android-пристроїв (рівень виправлень станом на 1 листопада, патчі рекомендується роздати користувачам в першу чергу), і уразливості, характерні для деяких моделей (рівень виправлень на 5 листопада, в набір патчів слід включити також ті, що призначені для всіх Android-пристроїв).
Партнерів Google повідомила про нові проблеми як мінімум за місяць до публікації листопадового бюлетеня. На її власні пристрої оновлення будуть доставлені OTA (over-the-air – “повітрям”, з використанням бездротового зв’язку).
Тексти програм нових патчів вже завантажені в сховище AOSP. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Експлуатація уразливості передбачає передачу на пристрій шкідливих даних з близької відстані. У разі успіху автор атаки зможе виконати довільний код у контексті привілейованого процесу.
Критичною RCE-уразливості присвоєно ідентифікатор CVE-2020-0449, до неї схильні ОС Android версій 8.0, 8.1, 9, 10 і 11.
Крім неї, в системних компонентах ОС усунули шість багів високого ступеня небезпеки. Ще дві критичні уразливості були виявлені у фреймворку Android. Обидві вони дозволяють за допомогою особливого повідомлення викликати на пристрої стійкий стан відмови в обслуговуванні (DoS).
У компонентах Media Framework виявлено три уразливості. Ступінь небезпеки однією з них (CVE-2020-0451) залежить від використовуваної версії ОС: на Android 10 і 11 ця проблема загрожує розкриттям конфіденційної інформації і визнана високо небезпечною, для версій 8.0, 8.1 і 9 вона критична, тому що дозволяє за допомогою спеціально створеного файлу виконати будь-який код в контексті привілейованого процесу.
Набір патчів, що відповідає рівню захищеності на 5 листопада, закриває також ряд дірок в компонентах виробництва MediaTek і Qualcomm. У пакет оновлень, призначений для пристроїв Pixel, розробник включив чотири додаткові закладки для компонентів Qualcomm.
З партнерів Google листопадові оновлення поки випустили лише LG і Samsung.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як вимкнути веб-камеру та мікрофон у Zoom? – ІНСТРУКЦІЯ
Як змінити ім’я користувача у Twitter? – ІНСТРУКЦІЯ
Як виявити шахрайство з технічною підтримкою та уникнути його? Поради
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, оператор платіжної системи Mastercard готує до пробних випробувань банківську карту F.CODE Easy, що використовує відбитки пальців для підтвердження прав на транзакцію в платіжних терміналах магазинів.
Також з’явився мобільний додаток доповненої реальності #PrisonersVoice, який привертає увагу міжнародної спільноти до українських бранців Кремля та до системного порушення Російською Федерацією прав людини загалом.
До речі, експерт з інтернет-безпеки, “білий хакер” із Нідерландів Віктор Геверс, відомий тим, що зміг зайти на екаунт президента США Дональда Трампа в 2016 році, повторив свій “успіх” в 2020 році.
Окрім цього, кіберзлочинне угруповання викрало понад 3 Тб приватних відео та розмістило їх на сайтах для дорослих. Серед викладених матеріалів були як відверто інтимні, так і цілком буденні. Зловмисники отримали доступ до понад 50 тисяч особистих IP-камер, що дозволило зібрати колекцію відеоматеріалів.
А 30-річний житель Івано-Франківщини створив веб-сайти, де на платній основі надавав доступ до перегляду фільмів. Засновник онлайн-кінотеатрів не мав дозволів від правовласників на розповсюдження їхніх творів та порушив авторські права двох іноземних кінокомпаній.
