امنیت

فناوری اطلاعات

August 19, 2019
13:43 دوشنبه، 28ام مردادماه 1398
کد خبر: 102374

رفع 26 آسیب‌پذیری امنیتی در به‌روزرسانی امنیتی ماه اوت سال 2019 اندروید

#‫گوگل با انتشار وصله امنیتی اندرویدی ماه اوت 2019، انواع #‫آسیب‌پذیری‌هایی که به تازگی کشف شده‌اند را برطرف ساخته است. این وصله امنیتی برای تمامی سیستم‌‌عامل‌های تلفن همراه که اندروید 9 “Pie” را اجرا می‌کنند، در دسترس است. 
وصله امنیتی ماه اوت سال 2019 اندروید، شامل دو سطح وصله‌ی امنیتی 2019-08-01 و 2019-08-05 است که 26 آسیب‌پذیری موجود در Android runtime، Media framework، Framework و اجزای سیستمی اندروید و همچنین ترکیبات Broadcom و Qualcomm را برطرف می‌سازد. شدیدترین آسیب‌پذیری از میان آسیب‌پذیری‌های رفع‌شده، یک آسیب‌پذیری امنیتی بحرانی در اجزای سیستمی است که به مهاجم راه‌دور اجازه می‌دهد با استفاده از یک فایل ساختگی خاص PAC، کد دلخواه را در متن یک فرایند ممتاز اجرا سازد. ارزیابی شدت این آسیب‌پذیری بر اساس تأثیری است که سوءاستفاده از آن ممکن است بر روی دستگاه آسیب‌پذیر داشته باشد. تاکنون گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری منتشر نشده است.
آسیب‌پذیری موجود در Android runtime با شناسه‌ی CVE-2019-2120 ردیابی می‌شود و از نظر شدت «بالا» رتبه‌بندی شده است. سوءاستفاده از این آسیب‌پذیری، به یک مهاجم داخلی اجازه می‌دهد الزامات تعامل کاربر را جهت دسترسی به مجوزهای بیشتر دور بزند.
در FrameWork، سه آسیب‌پذیری با شناسه‌‌های CVE-2019-2121 با شدت «بالا»، CVE-2019-2122 با شدت «بالا» و CVE-2019-2125 با شدت «متوسط» وجود دارد که در وصله‌ی امنیتی ماه اوت برطرف شده‌اند. شدیدترین آسیب‌پذیری در این بخش، برنامه کاربردی مخرب داخلی را قادر می‌سازد بااستفاده از یک فایل ساختگی خاص کد دلخواه را در متن یک فرایند ممتاز اجرا سازد.
آسیب‌پذیری‌های موجود در Media framework که در وصله امنیتی ماه اوت در سطح وصله امنیتی 2019-08-01 برطرف شده‌اند عبارتند از CVE-2019-2126 با شدت «بالا»، CVE-2019-2127 با شدت «بالا»، CVE-2019-2128 با شدت «بالا» و CVE-2019-2129 با شدت «بالا». شدیدترین آسیب پذیری در این بخش، مهاجم راه دور را قادر می‌سازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص در متن یک فرایند غیرممتاز اجرا سازد.
آسیب‌پذیری‌های موجود در بخش اجزای سیستمی اندروید عبارتند از CVE-2019-2130 با شدت «بحرانی»، CVE-2019-2131 با شدت «بالا»، CVE-2019-2132 با شدت «بالا»، CVE-2019-2133 با شدت «بالا»، CVE-2019-2134 با شدت «بالا»، CVE-2019-2135 با شدت «بالا»، CVE-2019-2136 با شدت «بالا» و CVE-2019-2137 با شدت «بالا». شدیدترین آسیب‌پذیری‌ در این بخش، مهاجم راه دور را قادر می سازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص PAC در متن یک فرایند ممتاز، اجرا نماید. این آسیب‌پذیری، شدیدترین آسیب‌پذیری از میان آسیب‌پذیری‌های رفع‌شده در این وصله امنیتی است.
آسیب‌پذیری موجود در اجزای Broadcom، یک آسیب‌پذیری بحرانی با شناسه‌ی CVE-2019-11516 در بخش بلوتوث دستگاه است که مهاجم راه‌دور را قادر می‌سازد بااستفاده از یک انتقال ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا نماید.
آسیب‌پذیری‌های موجود در اجزای Qualcomm عبارتند از:
• CVE-2019-10492 با شدت «بحرانی» در بخش HLOS،
• CVE-2019-10509 با شدت «بالا» در بخش BTHOST،
• CVE-2019-10510 با شدت «بالا» در بخش BTHOST،
• CVE-2019-10499 با شدت «بالا» در بخش MProc،
• CVE-2019-10538 با شدت «بالا» در بخش WLAN.
آسیب‌پذیری‌های موجود در اجزای متن‌بسته‌ی (closed-source) Qualcomm که در وصله امنیتی ماه اوت سال 2019 اندورید برطرف شده‌اند عبارتند از CVE-2019-10539 با شدت «بحرانی»، CVE-2019-10540 با شدت «بحرانی»، CVE-2019-10489 با شدت «بالا» و CVE-2019-2294 با شدت «بالا».
وصله امنیتی ماه اوت سال 2019 اندورید، همچنین رفع نقص امنیتی و بهبودهایی برای تمامی دستگاه‌های Pixel تحت پشتیبانی، به همراه آورده است. سه آسیب‌‌پذیری‌ CVE-2019-10538، CVE-2019-10539 و CVE-2019-10540 که مربوط به اجزای Qualcomm و اجزای متن‌بسته‌ی Qualcomm هستند، در دستگاه Pixel وجود دارند.
یکی از بهبودهای ارائه‌شده، مربوط به حالت sleep گوشی‌های هوشمند Pixel 3a و Pixel 3a XL است. تنظیمات شبکه‌ی وای‌فای برای دستگاه‌های Pixel، Pixel XL، Pixel 2، Pixel 2 XL، Pixel 3 XL، Pixel 3a XL و همچنین ثبات CaptivePortalLogin وای‌فای نیز در این وصله امنیتی بهبود یافته‌اند.
وصله امنیتی ماه اوت سال 2019، برای تمامی دستگاه‌های Pixel پشتیبانی شده منتشر شده است و به زودی برای دیگر گوشی‌های هوشمند اندرویدی سایر تولیدکنندگان نیز منتشر می‌شود. لازم است تمامی کاربران در اولین فرصت دستگاه‌های خود را به‌روزرسانی کنند.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.