Внимание! Трябва да бъдете по-внимателни, когато отваряте файл с изображение на вашия смартфон, който сте получили от интернет или чрез съобщения или имейл приложения.
ΝСамо с едно изображение вашият Android смартфон може да изпълни злонамерен код, скрит във файла с изображение, благодарение на три наскоро идентифицирани критични уязвимости, които засягат милиони устройства, работещи дори с най-новите версии на операционната система на Google, от Android 7.0 Nougat до текущата версия на Android 9.0 пай.
Уязвимости, идентифицирани като CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988, бяха коригирани на Android с отворен код (AOSP) от Google като част от актуализацията за сигурност на Android.
Въпреки това, тъй като не всеки производител на мобилни устройства разпространява актуализации за сигурност всеки месец, е трудно да се определи дали вашето устройство с Android ще получи тези актуализации за сигурност скоро, преди да станете жертва на тази уязвимост.
Въпреки че инженерите на Google все още не са разкрили технически подробности, за да обяснят тези уязвимости, актуализациите на Changelog ги отнасят като корекции на „препълване на буфер“, „SkPngCodec грешки“ и грешки, свързани с PNG.
Според Google една от трите уязвимости, които Google смята за най-сериозна, може да позволи на злонамерен файл с изображение на преносима мрежова графика (.PNG) да изпълнява злонамерен код на уязвими устройства с Android. Според Google „най-сериозният от тези проблеми е критична уязвимост в сигурността, която може да позволи на отдалечен натрапник да използва специално обработен PNG файл, за да изпълни злонамерен код като системен администратор."
Отдалечен натрапник би могъл да се възползва от тази уязвимост, като просто подкани потребителите по различни начини да отворят PNG файл с изображение (който е невъзможно да се открие с просто око) на своите устройства, които са получили чрез услугата за съобщения или приложение. имейл.
Включвайки тези три недостатъка, Google е поправил общо 42 уязвимости в сигурността в своята операционна система Android, 11 от които са критични, 30 високорискови и една умерена.
Google заяви, че няма съобщения за активна експлоатация или сериозна злоупотреба с някоя от уязвимостите, изброени в бюлетина за сигурността през февруари.
Google също така заяви, че е уведомил своите партньори за всички уязвимости един месец преди публикуването, като добави, че „изходният код за тези проблеми ще бъде пуснат в хранилището на AOSP (Android Open Source Project) през следващите 48 часа“.
[the_ad_group id = ”966 ″]