Корпорация Google выпустила пакет обновлений безопасности для мобильной программной платформы Android. В нём содержатся исправления для 25 уязвимостей разной степени опасности, в том числе двух критических.
В комментарии к выпущенному пакету обновлений отмечается, что критические уязвимости были обнаружены в системном компоненте операционной системы. Одна из них актуальна для мобильных устройств на базе Android 8.0, Android 8.1 и Android 9 и может использоваться злоумышленниками для удалённого выполнения произвольного кода. В последней версии программной платформы данная уязвимость приводит к отказу в обслуживании. Эксплуатация другой критической уязвимости может привести к раскрытию пользовательских данных. Она актуальна для устройств на базе Android 10, тогда как другим версиям платформы такая проблема не грозит.
Четыре опасные уязвимости компонента System удалось выявить и устранить. Три из них могут использоваться злоумышленниками для повышения уровня прав в системе (актуально для Android 8.0 и более поздних версий). Последняя из опасных уязвимостей, которая была исправлена в рассматриваемом патче, позволяет раскрыть пользовательскую информацию (присутствует в Android 9).
Ещё разработчики исправили сразу семь уязвимостей компонента Framework, некоторые из которых позволяют вредоносному ПО получать дополнительные разрешения внутри системы без необходимости взаимодействия с пользователем. Другие уязвимости связаны с компонентами ядра системы, компонентами Qualcomm и др.
Все упомянутые проблемы являются неактуальными для пользователей, которые получили обновление до «уровня патчей безопасности» (security patch levels) 2020-02-05.