Цього тижня випущено оновлення системи безпеки для Android за грудень 2020 року. Патч розділено на два рівні виправлення, зокрема, перший з них усуває 13 помилок, включно із критичними уразливостями в Media Framework. Інші 12 уразливостей, виправлені у патчі другого рівня, мають високий рівень небезпеки.
Компонент, який найбільше постраждав, – Framework. Там виправлено вісім уразливих місць: три підвищення привілеїв, чотири розкриття інформації та одна відмова в обслуговуванні, пише SecurityWeek.
Для компонента System патч виправляє три недоліки розкриття інформації, тоді як для Media Framework – дві помилки, а саме віддаленого виконання коду (критична) та помилки розкриття інформації (високої серйозності).
Використання уразливості віддаленого виконання коду (позначена як CVE-2020-0458 і актуальна на Android 8.0, 8.1, 9 та 10) можна виконати за допомогою спеціально створеного файлу, що призводить до виконання довільного коду в контексті привілейованого процесу.
Щодо патча другого рівня, то він виправляє 33 вразливості, включно із помилками, що впливають на компоненти ядра, компоненти Broadcom, компоненти MediaTek, компоненти Qualcomm та компоненти Qualcomm із закритим кодом.
Дев’ять із цих недоліків мають критичний ступінь важкості, у той час, як решту вважають такими, що мають високий ступінь важкості. Усі ці уразливості, а також усунені з попередніми патчами, виправлені на пристроях, на яких встановлено патч безпеки 2020-12-05 або пізнішої версії.
На додаток до цих виправлень, Google випустила новий патч для пристроїв Pixel, щоб усунути загальну кількість 82 вразливостей для п’яти компонентів: Framework (14), Media Framework (17), System (37), компоненти ядра (8), компоненти Qualcomm (6).
Лише одна з цих вразливостей має високий рейтинг серйозності, тоді як решта оцінюється як помірний. Пристрої Pixel, що вже мають патч від 2020-12-05 або пізнішої версії, також захищені від усіх уразливостей, перерахованих на початку новини.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.
