Выпущен бюллетень безопасности Android за июнь 2016

Компания Google представила описание очередного обновления безопасности своей мобильной платформы Android. В первый понедельник месяца закрывается 40 багов, из них 8 названы критическими, что означает максимальную степень опасности.

Компонент MediaServer снова получил максимальное количество обновлений. Патчи закрыли одну проблему удалённого выполнения кода (в версиях от Android 4.4.4 KitKat до Android 6.0.1), 12 уязвимостей повышения привилегий в системе, одну неисправность раскрытия информации и одну уязвимость вида «отказ в обслуживании». Данный компонент играет важную роль в Android, отвечая за работу с мультимедийными данными на устройствах. Использовать уязвимости MediaServer довольно легко, можно использовать сообщение MMS или заманить пользователя на веб-страницу с вредоносным мультимедийным файлом.

Второе место по числу закрытых уязвимостей занимают компоненты Qualcomm. Это драйверы Qualcomm Camera, Video, Sound, GPU и Wi-Fi, всего выпущено 15 обновлений. Также обновлены драйверы Broadcom Wi-Fi, MediaTek Power Management и Nvidia Camera.

Из восьми критических уязвимостей шесть ведут к постоянному взлому устройства, которое можно исправить только переустановкой операционной системы. Все шесть относятся к компонентам Qualcomm, ещё одна критическая уязвимость находится в MediaServer, а другая в библиотеке libwebm, которая также является частью модуля MediaServer.

Обновления безопасности устройств Nexus распространяются по воздуху, а OEM-производители должны ждать обновлённых образов системы. Обновления этого месяца представлены командой безопасности Google и проектом Zero, компаниями Alibaba, Tencent, CORE Team, Qihoo 360 и рядом независимых исследователей.