جوجل بقع معالجة حاسمة وسائل الإعلام ونقاط الضعف التجذير في الروبوت

أصدرت جوجل دفعة جديدة من الإصلاحات الأمنية للهواتف الذكية نيكزس وأقراص، ومعالجة العيوب التي قد تسمح للمهاجمين بخرق أجهزة الروبوت عبر رسائل البريد الإلكتروني المارقة، وصفحات الويب، وMMS

يتم طرح تحديثات البرامج الثابتة على أجهزة Nexus المدعومة كتحديث عن بُعد وسيتم إضافة التصحيحات إلى مشروع Android Open Source (AOSP) خلال الـ 48 ساعة القادمة. وقال يبني LMY48Z والروبوت الخطمي مع 1 ديسمبر 2015 تصحيح الأمان مستوى تحتوي على هذه الإصلاحات جوجل في نشرة أمنها.

التحديثات تتناول خمس نقاط الضعف تصنف على أنها حاسمة، 12 تصنيفا مرتفعا واثنين من المعتدلون. تم العثور على عدد كبير من العيوب مرة أخرى في مكونات معالجة الوسائط في نظام التشغيل ، والتي تتعامل مع تشغيل ملفات الصوت والفيديو وتعديل البيانات الوصفية للملفات المقابلة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

واحد من توجد نقاط الضعف الحرجة في mediaserver ، وهو جزء أساسي من نظام التشغيل ، ويمكن استغلالها لتنفيذ تعليمات برمجية عشوائية مع امتيازات لا يُفترض أن يكون لدى تطبيقات الطرف الثالث. يمكن أن المهاجمين استغلال الخلل عن بعد عن طريق خداع المستخدمين إلى لعب ملفات الوسائط معدة بشكل خاص في برامج التصفح الخاصة بهم أو عن طريق إرسالها عبر رسالة وسائط متعددة (MMS).

ومن الجدير بالذكر أن جوجل قد تعطيل التوزيع التلقائي للرسائل الوسائط المتعددة في خروجات جوجل ورسوله وقد تم اصلاح، وتطبيقات الرسائل الافتراضي في الروبوت.

ثلاث نقاط الضعف تجهيز وسائل الإعلام الأخرى التي يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية عن بعد عبر البريد الإلكتروني، وتصفح الويب ورسائل الوسائط المتعددة في محرك الرسومات باسم Skia والسائق وضع المستخدم عرض تحميلها من قبل خادم الوسائط.

آخر ثغرة أمنية خطيرة تم تصحيحها في هذا الإصدار هي خطأ في تصعيد الامتيازات في Android kernel. من المحتمل أن تسمح للتطبيقات المارقة بتنفيذ الشفرات كجذر ، وهو أعلى امتياز على النظام.

هذا هو نوع الخلل الذي يتيح ما يسمى بتجذير Android ، والذي يستخدمه بعض المتحمسين للسيطرة الكاملة على أجهزتهم. ولكن في أيدي المهاجمين الخبيثة ، يمكن أن يؤدي مثل هذا الخلل إلى اختراق كامل ومستمر للأجهزة يمكن إصلاحه فقط عن طريق إعادة تشغيل نظام التشغيل.

تم إصلاح عيوب تصعيد الامتيازات الإضافية في المكونات الأخرى مع هذا الإصدار ، ولكن يتم تقييمها على أنها عالية لأنها لا توفر إمكانية الوصول إلى الجذر. ومع ذلك ، يمكن أن تمنح التطبيقات المارقة أذونات خطيرة لا يجب أن يكون لديها.

توصي Google المستخدمين من إصدارات Android القديمة بالتحديث إلى أحدث إصدار ، إذا أمكن ، على سبيل المثال ، إذا قدمت الشركات المصنعة للأجهزة تحديثات. ذلك لأن الإصدارات الأحدث من Android تحتوي على تحسينات أمان في مكان يمكنها أن تجعل استغلال بعض نقاط الضعف أصعب أو مستحيل.

فريق أمان Google يستخدم أيضًا ميزات مثل Verify Apps و SafetyNet لمراقبة ومنع التطبيقات التي يحتمل أن تكون ضارة. على سبيل المثال ، لا يُسمح بالتطبيقات التي تستخدم العيوب في تصعيد الامتيازات على الأجهزة الجذرية في Google Play ، كما سيحقق Verify Apps حظر تطبيقات التجذير المعروفة افتراضيًا.