Logo Zephyrnet

Các bản cập nhật hàng tháng của Android đã hết - đã tìm thấy các lỗi nghiêm trọng ở những nơi quan trọng!

Ngày:

Các bản cập nhật tháng 2022 năm XNUMX của Google dành cho Android ra ngoài.

Như thường lệ, cốt lõi của Android nhận được hai phiên bản vá lỗi khác nhau.

Đầu tiên được lồng tiếng 2022-05-01và chứa các bản sửa lỗi cho 13 lỗ hổng được đánh số CVE.

May mắn thay, không có lỗ nào trong số này hiện đang được khai thác, có nghĩa là không có lỗ XNUMX ngày nào được biết đến trong tháng này; không ai trong số chúng trực tiếp dẫn đến thực thi mã từ xa (RCE); và không ai trong số họ được gắn cờ là Quan trọng.

Tuy nhiên, ít nhất một trong những lỗ hổng bảo mật này có thể cho phép một ứng dụng trông hoàn toàn vô tội (một ứng dụng không cần đặc quyền đặc biệt nào khi bạn cài đặt nó) đạt được số lượng quyền truy cập cấp root.

Nếu bạn đang thắc mắc tại sao chúng tôi không cung cấp cho bạn số CVE cụ thể cho các lỗ hổng nghiêm trọng nhất, thì đó là bởi vì bản thân Google không nêu chi tiết lỗ hổng nào gây ra những rủi ro nào, mà thay vào đó chỉ nêu những tác dụng phụ tiềm ẩn của "Lỗ hổng nghiêm trọng nhất" trong mỗi nhóm lỗi.

Đợt cập nhật thứ hai được đặt tên là 2022-05-05, một số nhận dạng chính thức bao gồm tất cả các bản vá được cung cấp bởi 2022-05-01, cộng với 23 lỗi khác được đánh số CVE trong nhiều phần của hệ điều hành.

Các thành phần bị ảnh hưởng bởi những lỗi này bao gồm bản thân hạt nhân Android, cùng với các mô-đun phần mềm mã nguồn đóng khác nhau do các nhà sản xuất phần cứng MediaTek và Qualcomm cung cấp cho Google.

Các bản vá không hợp nhất

Lý tưởng nhất là Google sẽ không tách các bản cập nhật hàng tháng ra theo kiểu này mà sẽ cung cấp một bộ bản vá thống nhất, duy nhất và mong muốn tất cả các nhà cung cấp thiết bị Android cập nhật sớm nhất có thể.

Tuy nhiên, như công ty thừa nhận trong các bản tin của mình, có “Hai cấp bản vá bảo mật để các đối tác Android có thể linh hoạt sửa chữa một nhóm nhỏ các lỗ hổng bảo mật giống nhau trên tất cả các thiết bị Android một cách nhanh chóng hơn”.

Chúng ta có thể hiểu cách tiếp cận của Google, có lẽ phản ánh giả định rằng sẽ tốt hơn nếu mọi người sửa chữa ít nhất một cái gì đó và một số nhà cung cấp sửa chữa mọi thứ…

… Còn hơn nếu một số nhà cung cấp sửa chữa mọi thứ nhưng những nhà cung cấp khác không sửa gì cả.

Tuy nhiên, Google công khai lưu ý rằng “Các đối tác Android được khuyến khích khắc phục tất cả các vấn đề trong bản tin này và sử dụng cấp bản vá bảo mật mới nhất.”

Theo tiếng địa phương hiện đại, ý kiến ​​của chúng tôi về vấn đề này rất đơn giản và rõ ràng: +1.

Sự nhức nhối trong phần cứng

Mặc dù có một bản phân phối mã nguồn mở của Android được biết đến AOSP (viết tắt của Dự án mã nguồn mở Android), bản phân phối Android mà bạn đang chạy trên điện thoại hoặc máy tính bảng của mình ngay bây giờ gần như chắc chắn bao gồm nhiều thành phần nguồn đóng.

Ví dụ, Google Android hơi giống iOS của Apple vì nó dựa trên nhân mã nguồn mở và rất nhiều công cụ mã nguồn mở cấp thấp, nhưng với nhiều mô-đun độc quyền, giao diện lập trình ứng dụng và ứng dụng được xếp trên đó.

Nhưng ngay cả các phiên bản Android của bên thứ ba cũng thường bao gồm nhiều mô-đun phần mềm nguồn đóng, chẳng hạn để vận hành phần cứng cấp thấp trong thiết bị, chẳng hạn như đài điện thoại di động (mã được quy định nghiêm ngặt và đa dạng ở hầu hết các quốc gia), Wi -Fi, Bluetooth, v.v.

Thật không may, tháng này 2022-05-05 các bản vá bao gồm một bản sửa lỗi có tên là CVE-2021-35090 được ký hiệu là Quan trọng, nhưng không có thông tin công khai nào có sẵn.

Google không nói thêm rằng lỗi này, cộng với 2021 lỗi CVE kỷ nguyên XNUMX nữa, là “Các lỗ hổng bảo mật ảnh hưởng đến các thành phần nguồn đóng của Qualcomm.”

Có vẻ như ngay cả Google cũng không biết điều gì đã được khắc phục trong các “đốm màu” nhị phân của Qualcomm, hoặc nếu có thì cũng không nói.

Do đó, chúng tôi giả định rằng bất kỳ lỗi nào được coi là Quan trọng liên quan đến một số loại thực thi mã từ xa (RCE) và do đó có thể dẫn đến việc kẻ tấn công từ xa lén lấy phần mềm gián điệp hoặc phần mềm độc hại khác vào thiết bị của bạn mà không cần bất kỳ loại hỗ trợ chạm hoặc nhấp nào từ phía bạn.

đốm, nếu bạn đang tự hỏi, một từ biệt ngữ có phải từ BÃI, một từ viết tắt hài hước của Đối tượng lớn nhị phân, một cái tên nhằm nhắc nhở bạn rằng mặc dù bạn cần và sử dụng nó, bạn có thể sẽ không bao giờ chắc chắn về cách hoạt động, cấu trúc của nó hoặc thậm chí nó thực sự dùng để làm gì.

Thông tin chi tiết bổ sung cho người dùng Pixel

Chủ sở hữu không chỉ có Google Android mà còn sử dụng phần cứng của Google (Pixel 3a trở lên) đã có Cập nhật dành riêng cho pixel có sẵn, bao gồm các bản vá cho 11 lỗi bổ sung được đánh số CVE, hai trong số đó được coi là Quan trọng.

Trớ trêu thay, hai lỗi Pixel quan trọng lại nằm trong các thành phần cấp thấp quan trọng, như sau:

  • CVE-2022-20120. Thực thi mã từ xa (RCE) trong bộ nạp khởi động. Bộ nạp khởi động là một phần quan trọng của tính toàn vẹn hệ thống Android và bị khóa theo mặc định chống lại bất kỳ loại sửa đổi nào. Bạn có thể mở khóa bộ nạp khởi động trên thiết bị Pixel để cài đặt một hệ điều hành thay thế không phải của Google, nhưng mỗi khi bạn mở khóa (hoặc khóa lại) bộ nạp khởi động, tất cả dữ liệu người dùng sẽ bị xóa khỏi thiết bị trong cái gọi là Thiết lập lại nhà máy. Điều này ngăn người đánh cắp điện thoại của bạn hoán đổi hệ điều hành cơ bản để lấy phiên bản Trojanised và sau đó trả lại thiết bị cho bạn dường như chưa được sửa đổi với tất cả các ứng dụng và dữ liệu gốc của bạn. Một lỗi RCE của bộ nạp khởi động cho thấy rằng một kẻ tấn công được xác định có thể âm thầm và vô hình có thể xâm nhập một thiết bị chưa được vá, được cung cấp một vài phút truy cập vật lý và cáp USB.
  • CVE-2022-20117. Công bố thông tin trong thành phần Titan-M. Chip Titan-M là mô-đun bảo mật phần cứng của Google, được cho là cung cấp khả năng lưu trữ an toàn chống giả mạo các khóa mật mã và dữ liệu bí mật khác. Cố gắng giải nén con chip từ một thiết bị và sau đó trích xuất dữ liệu thô từ chính con chip được cho là không thể, bởi vì con chip sẽ tự phá hủy hoặc biến mất nếu được truy cập theo những cách không chính thức. Do đó, lỗi tiết lộ thông tin trong mô-đun bảo mật phần cứng luôn là một vấn đề quan trọng, bởi vì mô-đun này được thiết kế đặc biệt để giữ bí mật.

Phải làm gì?

Lỗi bộ nạp khởi động, lỗ rò rỉ dữ liệu trong chip bảo mật chuyên dụng, lỗ hổng có thể cho phép ứng dụng trông có vẻ ngây thơ nhất hoạt động giả mạo và lỗ hổng nghiêm trọng trong một thành phần không được tiết lộ được sử dụng trong một loạt thiết bị Android không xác định có nghĩa là…

… Vá sớm, vá thường xuyên. (Và vâng, chúng tôi luôn nói điều đó, đó là lý do tại sao chúng tôi nói điều đó ở đây!)

Trên hầu hết các thiết bị của Google, bao gồm nhiều nếu không phải là hầu hết các biến thể Android không phải của Google (chúng tôi đang sử dụng GrapheneOS), bạn có thể kiểm tra các bản cập nhật và tìm nạp chúng theo yêu cầu bằng cách truy cập WELFARE > Cập nhật hệ thống > Kiểm tra cập nhật.

Để tìm chi tiết chính xác về nhân Android hiện tại, số phiên bản và cấp bản vá bảo mật, hãy truy cập WELFARE > Về điện thoại > Phiên bản android.

Lý tưởng nhất là bạn đang tìm kiếm 5 May 2022 cập nhật bảo mật (điều này tương ứng với 2022-05-05 cấp bản vá ở trên) và một hạt nhân hiển thị ngày xây dựng là đầu tháng 2022 năm XNUMX, như được thấy bên dưới.



tại chỗ_img

Tin tức mới nhất

tại chỗ_img