گوگل آسیب‌پذیری‌های خطرناک مدیاسرور اندروید را اصلاح کرد

   
نام نویسنده:
|
دسته بندی:
|
asis نوشت : گوگل یکی دیگر از آسیب‌پذیری‌های اندروید را در مدیاسرور آن اصلاح کرد. این آسیب‌پذیری‌ پس از دسته‌ای از وصله‌های اصلاحی که تابستان امسال برای نقاط آسیب‌پذیر اندروید و نقاط آسیب‌پذیر ریشه‌ای هسته سامانه‌عامل، ارسال شده بودند باعث بدنامی شده بود.


در مجموع ۱۹ نقطه آسیب‌پذیری به وسیله اصلاحیه‌هایی در به‌روزرسانی‌هایی که دومین دوشنبه‌های هر ماه ارسال می‌گردند، وصله شدند، از این میان ۵ مورد خطرناک، ۱۲ مورد سطح بالا و دو مورد متوسط تشخیص داده شدند.
این مشکلات در سفت‌افزار نکسوس از شماره ساخت LMY۴۸Z و بعد از آن و در نسخه اندروید Marshmallow اصلاح شده‌اند.
گوگل گفته است که کد منبع اصلاحیه‌ها ظرف ۴۸ ساعت در مرکز پروژه‌های منبع باز اندروید  Android Open Source Project repository در دسترس خواهند بود.
گوگل می‌گوید که نقص مدیاسرور با شناسه‌ی CVE-۲۰۱۵-۶۶۱۶ از همه خطرناک‌تر بوده که موجب ایجاد چهار آسیب‌پذیری بحرانی شده، که در صورت سوء‌استفاده اجازه‌ی دسترسی از راه دور به سامانه را برای مهاجم فراهم می‌کرده است.
گوگل در نشریه خبری خود گفته است: «این آسیب‌پذیری‌ها در مدیاسرور با ایجاد یک پرونده‌ی خاص در مدیا‌سرور و فرآیند پردازش داده‌ها، به مهاجمان اجازه می‌دهند تا موجب تخریب حافظه شده و اجرای کدهای از راه دور را به عنوان فرایندی از مدیاسرور میسر کنند.»
گوگل می‌گوید مدیاسرور یکی از اجزای اصلی سامانه‌‌عامل اندروید است و با برنامه‌های دیگری که می‌توانند مورد سوء استفاده نفوذگران قرار گیرند، همچون نرم‌افزارهای MMS و قابلیت‌های اجرای رسانه‌ای مرورگر در تعامل است.
در ماه نوامبر نیز گوگل دسته‌ای دیگر از آسیب‌پذیری‌هایی را که در مدیاسرور قرار داشتند به همراه یک آسیب‌پذیری خطرناک در قسمت سرویس‌های سامانه‌عامل اصلاح کرد.
همچنین به‌روزرسانی‌های دیروز شامل یک اصلاحیه جهت وصله‌ی رخنه‌های افزایش حق دست‌رسی و رخنه‌هایی بود که موجب افشای اطلاعات می‌شد و گوگل آنها را بسیار جدی ارزیابی کرده بود.
گوگل گفته است که رخنه‌ی افزایش حق دست‌رسی می‌توانست به مهاجم اجازه دهد تا مجوزهایی در سامانه به دست آورد که تنها به صورت محلی قابل دستیابی هستند و نه از راه دور به وسیله سایر نرم‌افزارها، و رخنه افشای اطلاعات در حین برقراری ارتباطات توسط مدیاسرور رخ می‌داد و اقدامات امنیتی را دور می‌زد.
علاوه بر آن گوگل یک آسیب‌پذیری افزایش حق دست‌رسی با شناسه‌ی CVE-۲۰۱۵-۶۶۱۹ را نیز در هسته اصلاح کرد. یک مهاجم می‌توانست از یک نرم‌افزار آلوده استفاده کند تا یک کد را در سطح ریشه سامانه‌ی اجرا نماید که موجب لطمه اساسی به دستگاه می‌شد. گوگل گفته است که در این صورت دستگاه باید حتماً دوباره فلش شود.
یک رخنه در اجرای یک کد از راه دور نیز در موتور گرافیکی Android Skia  با شناسه‌ی CVE-۲۰۱۵-۶۶۱۷ اصلاح شد. یک مهاجم می‌توانست به اشکال مختلف نظیر استفاده از رایانامه‌، مرورگر وب و MMS هنگام پردازش پرونده‌های رسانه‌ای از این آسیب‌پذیری بهره‌برداری کند.
سایر نقاط آسیب‌پذیری حیاتی در درایورهای صفحه نمایش اندروید اصلاح شدند، که به وسیله پردازش راه دورِ پرونده‌های رسانه‌ای می‌توانستند مورد بهره‌برداری قرار گیرند. گوگل گفته است که در این مورد از طریق MMS یا رایانامه، و محتوای آلوده مرورگر سامانه مورد سوء‌استفاده قرار می‌گیرد و در نتیجه آن تخریب حافظه رخ داده و کد مخرب اجرا می‌شود.
همچنین گوگل آسیب‌پذیری‌های دیگری را در بلوتوث، رابط کاربری، کتابخانه سفت‌افزارهای محلی، وای‌فای، کارگزار سامانه، سفت‌افزار صدا و رسانه که خطر آنها بالا ارزیابی شده بود اصلاح کرد. گوگل نقایص متوسط ارزیابی‌شده دیگری نیز در کارگزار سامانه و رابط کاربری آن اصلاح کرده است.
گفتنی است این به‌روز‌رسانی‌ها فقط برای تلفن‌های همراه نکسوس عرضه می‌شود و سایر شرکت‌ها باید از پروژه‌ی متن‌باز اندروید به روز‌رسانی‌ها را دریافت کرده و با اعمال تغییرات لازم آن‌ها را برای مشتریان خود منتشر نمایند، که البته در چند ماه گذشته شرکت‌هایی مانند سامسونگ و ال‌جی در انتشار به‌روز‌رسانی‌ها بسیار ضعیف عمل کرده‌اند.

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید