Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Kritická zraniteľnosť Androidov umožňuje prevzatie kontroly nad zariadením

29.07.2019
Systémy Android vo verziách 7 až 9 obsahujú kritickú zraniteľnosť, ktorú môže útočník zneužiť na vzdialené vykonávanie kódu privilegovaného procesu a prevzatie kontroly nad zariadením. Chyba umožňujúca zápis mimo povolenú hodnotu sa konkrétne nachádza v prehrávači Android Player a zneužiteľná je po spustení škodlivého video súboru.

 

Dôsledky

  • Vzdialené vykonávanie kódu v privilegovanom procese
  • Prevzatie kontroly nad zraniteľným zariadením

Opis činnosti
CVE-2019-2107

V mobilných zariadeniach Android vo verzii 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 bola nájdená kritická zraniteľnosť CVE-2019-2107, ktorú môže útočník zneužiť na vzdialené vykonávanie kódu privilegovaného procesu. Ide o chybu umožňujúcu zápis mimo povolenú hodnotu, ktorá vznikla nedostatočnou kontrolou veľkosti vstupov.

Android Player obsahuje chybu pri kontrole veľkosti vstupných parametrov videa, a tým dovoľuje zápis hodnôt mimo povolený rozsah. Nachádza sa v ihevcd_parse_pps funkcie ihevcd_parse_headers.c. Tým je možné dosiahnuť vzdialené vykonávanie kódu tak, že útočník použije upravené video, ktoré používateľ zraniteľného zariadenia prehrá v programe Android Player.

Zraniteľnosť sa nevzťahuje na prehrávanie videa pomocou aplikácií ako WhatsApp, Facebook Messenger, Youtube alebo Twitter. V tomto prípade dochádza k automatickej kompresii a úprave videa. Naopak, video je možné podhodiť obeti využitím Gmail aplikácie, ktorá prehráva videá automaticky pomocou základnej aplikácie Android Player.

Spoločnosť Google vydala aktualizáciu k tejto zraniteľnosti a následne bola zverejnená funkčná ukážka jej zneužitia (PoC), v ktorej sa nachádza škodlivé video využívajúce túto zraniteľnosť.

Zraniteľné systémy
Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania

  • Aktualizácia systému Android
  • Používanie iných prehrávačov ako Android Player
  • Neprehrávať a nesťahovať videá z neznámych zdrojov

Odkazy
https://nvd.nist.gov/vuln/detail/CVE-2019-2107
https://android.googlesource.com/platform/external/libhevc/+/af17238b90c34bd466f01e7f9b999d3a28844cbe
https://source.android.com/security/bulletin/2019-07-01
https://thehackernews.com/2019/07/android-media-framework-hack.html



<< zoznam oznámení