آسیب‌پذیری‌های حیاتی در کارگزار رسانه‌ای اندروید و راه‌اندازهای کوالکام وصله شدند!

روز دوشنبه، گوگل به انتشار مجموعه‌ی بروزرسانی‌های امنیتی ماه ژوئن سال ۲۰۱۶ برای سامانه‌ی عامل اندروید پرداخت و به واسطه‌ی آن ۴۰ آسیب‌پذیری را در این بستر وصله کرد: ۸ مورد حیاتی، ۲۸ مورد سطح بالا و ۴ مورد سطح متوسط.
برای تقریباً یک سال بعد از اینکه آسیب‌پذیری وحشتناکی در ماه جولای سال ۲۰۱۵ افشاء شد، گوگل مشغول حل مشکلات موجود در مؤلفه‌های کارگزار رسانه‌ای بوده است و در این خبرنامه امنیتی مربوط به این ماه نیز تفاوتی در این زمینه دیده نمی‌شود. در این ماه در مجموع ۱۵ آسیب‌پذیری امنیتی در کارگزار رسانه‌ای وصله شدند و در کنار آنها ۱۶ حفره در راه‌اندازهای متعدد کوالکام و ۹ حفره در دیگر مؤلفه‌ها و راه‌اندازهای دیگر وصله شدند.

به‎روزرسانی امنیتی اندروید در ماه ژوئن سال ۲۰۱۶ یک حفره‌ی اجرای کد (RCE) را در کارگزار رسانه‌ای (CVE-۲۰۱۶-۲۴۶۳) که حیاتی برآورد شده است برطرف کرده است و ۱۳ حفره‌ی سطح بالا در مؤلفه‌های آن که ۱۲ مورد آن مشکلات مربوط به افزایش سطح دسترسی بوده‌اند
(CVE-۲۰۱۶-۲۴۷۶, CVE-۲۰۱۶-۲۴۷۷, CVE-۲۰۱۶-۲۴۷۸, CVE-۲۰۱۶-۲۴۷۹, CVE-۲۰۱۶-۲۴۸۰, CVE-۲۰۱۶-۲۴۸۱, CVE-۲۰۱۶-۲۴۸۲, CVE-۲۰۱۶-۲۴۸۳, CVE-۲۰۱۶-۲۴۸۴, CVE-۲۰۱۶-۲۴۸۵, CVE-۲۰۱۶-۲۴۸۶, CVE-۲۰۱۶-۲۴۸۷)
و یک مورد حفره‌ی اجرای منع سرویس از راه دور (DoS) بوده است (CVE-۲۰۱۶-۲۴۹۵) و یک آسیب‌پذیری افشای اطلاعات سطح متوسط (CVE-۲۰۱۶-۲۴۹۹) را هم وصله کرده است.

ماه گذشته گوگل ۴۰ آسیب‌پذیری را در اندروید وصله کرد که ۱۲ مورد از آن‎ها آسیب‌پذیری های حیاتی بودند. یکی از این حفره‌ها یک آسیب‌پذیری افزایش سطح دسترسی در محیط اجرای امن کوالکام (QSEE) بود که در تقریباً شصت درصد همه‌ی دستگاه‌های اندروید یافت می‌شد و تعجبی نداشت که این ماه تمرکز بر روی راه‌اندازهای کوالکام گذاشته شود.
بنا به خبرنامه امنیتی گوگل، به روزرسانی ماه ژوئن ۲۰۱۶ اندروید، شش آسیب‌پذیری حیاتی افزایش سطح دسترسی را که بر راه‌اندازهای ویدئوی کوالکام (CVE-۲۰۱۶-۲۴۶۵)، صدا (CVE-۲۰۱۶-۲۴۶۶, CVE-۲۰۱۶-۲۴۶۷), گرافیک(CVE-۲۰۱۶-۲۴۶۸, CVE-۲۰۱۶-۲۰۶۲, و وای‌فای (CVE-۲۰۱۶-۲۴۷۴) تأثیر می‌گذاشت، وصله می‌کند.

۹ حفره‌ی دیگر افزایش سطح دسترسی در راه‌انداز کوالکام نیز که عبارتند از صدا (CVE-۲۰۱۶-۲۰۶۶, CVE-۲۰۱۶-۲۴۶۹)، دوربین (CVE-۲۰۱۶-۲۰۶۱, CVE-۲۰۱۶-۲۴۸۸)، تصویر(CVE-۲۰۱۶-۲۴۸۹), و وای‌فای
(CVE-۲۰۱۶-۲۴۷۰, CVE-۲۰۱۶-۲۴۷۱, CVE-۲۰۱۶-۲۴۷۲, CVE-۲۰۱۶-۲۴۷۳)
وصله شده‌اند، همه‌ی این حفره‌ها به عنوان حفره‌های با شدت بالا طبقه‌بندی شده‌اند و در کنار آن‎ها یک حفره‌ی افشای اطلاعات در راه‌انداز وای‌فای کوالکام که خطر سطح متوسطی بود (CVE-۲۰۱۶-۲۴۹۸) نیز وصله شد.

همچنین گوگل یک حفره‌ی RCE حیاتی را در libwebm با شناسه (CVE-۲۰۱۶-۲۴۶۴)، دو حفره‌ی افزایش سطح دسترسی را در راه‌انداز وای‌فای Broadcom با شناسه (CVE-۲۰۱۶-۲۴۷۵, CVE-۲۰۱۶-۲۴۹۳)، دو راه‌انداز دوربین NVIDIA
(CVE-۲۰۱۶-۲۴۹۰, CVE-۲۰۱۶-۲۴۹۱)
، یک راه‌انداز مدیریت مصرف مدیاتک (CVE-۲۰۱۶-۲۴۹۲) و یک حفره در لایه‌ی شبیه‌ساز کارت حافظه (CVE-۲۰۱۶-۲۴۹۴) را وصله کرده است. سایر حفره‌های جدیداً وصله شده عبارتند از یک حفره‌ی افزایش سطح دسترسی در Framework UI با شناسه (CVE-۲۰۱۶-۲۴۹۶) و یک حفره‌ی افشای اطلاعات در مدیریت فعالیت‌ها (CVE-۲۰۱۶-۲۵۰۰) هر دو این حفره‌ها به عنوان، حفره‌های سطح متوسط ارزیابی شده‌اند.

در بیشتر این آسیب‌پذیری‌ها، نسخه‌های اندروید ۴.۴.۴، ۵.۰۲، ۵.۱.۱، ۶.۰ و ۶.۰.۱، تحت تأثیر قرار گرفته‌اند، اگرچه گوگل تشریح کرده است که برخی از این مشکلات تنها بر دستگاه‌های نکسوس مؤثر هستند (یعنی آن‎هایی که بر راه‌اندازهای کوالکام، Broadcam، و NVIDIA تأثیر می‌گذارند)، و برخی دیگر تنها در نسخه‌های ۶.۰ و ۶.۰۱ از اندروید وجود دارند. (آسیب‌پذیری‌ Framework UI).
دستگاه‌هایی که اندروید را در سطوح امنیتی وصله شده در تاریخ ۱ ژانویه‌ی ۲۰۱۶ اجرا می‌کنند، در برابر این آسیب‌پذیری‌ها ایمن هستند. همچنین گوگل توضیح داده است که به شرکای این شرکت در مورد این مشکلات در تاریخ ۲ ماه می سال ۲۰۱۶ و قبل از آن اطلاع‌رسانی شده است و وصله‌های این کدهای منبع در مدت کوتاهی در مخزن پروژه‌های متن‎باز اندروید (AOSP) منتشر خواهد شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.