Yazdan 1,703 ارسال شده در آذر 25، 1394 گزارش اشتراک گذاری ارسال شده در آذر 25، 1394 گوگل یکی دیگر از آسیبپذیریهای اندروید را در مدیاسرور آن اصلاح کرد. این آسیبپذیری پس از دستهای از وصلههای اصلاحی که تابستان امسال برای نقاط آسیبپذیر اندروید و نقاط آسیبپذیر ریشهای هسته سامانهعامل، ارسال شده بودند باعث بدنامی شده بود. در مجموع ۱۹ نقطه آسیبپذیری به وسیله اصلاحیههایی در بهروزرسانیهایی که دومین دوشنبههای هر ماه ارسال میگردند، وصله شدند، از این میان ۵ مورد خطرناک، ۱۲ مورد سطح بالا و دو مورد متوسط تشخیص داده شدند. این مشکلات در سفتافزار نکسوس از شماره ساخت LMY۴۸Z و بعد از آن و در نسخه اندروید Marshmallow اصلاح شدهاند. گوگل گفته است که کد منبع اصلاحیهها ظرف ۴۸ ساعت در مرکز پروژههای منبع باز اندروید Android Open Source Project repository در دسترس خواهند بود. گوگل میگوید که نقص مدیاسرور با شناسهی CVE-۲۰۱۵-۶۶۱۶ از همه خطرناکتر بوده که موجب ایجاد چهار آسیبپذیری بحرانی شده، که در صورت سوءاستفاده اجازهی دسترسی از راه دور به سامانه را برای مهاجم فراهم میکرده است. گوگل در نشریه خبری خود گفته است: «این آسیبپذیریها در مدیاسرور با ایجاد یک پروندهی خاص در مدیاسرور و فرآیند پردازش دادهها، به مهاجمان اجازه میدهند تا موجب تخریب حافظه شده و اجرای کدهای از راه دور را به عنوان فرایندی از مدیاسرور میسر کنند.» گوگل میگوید مدیاسرور یکی از اجزای اصلی سامانهعامل اندروید است و با برنامههای دیگری که میتوانند مورد سوء استفاده نفوذگران قرار گیرند، همچون نرمافزارهای MMS و قابلیتهای اجرای رسانهای مرورگر در تعامل است. در ماه نوامبر نیز گوگل دستهای دیگر از آسیبپذیریهایی را که در مدیاسرور قرار داشتند به همراه یک آسیبپذیری خطرناک در قسمت سرویسهای سامانهعامل اصلاح کرد. همچنین بهروزرسانیهای دیروز شامل یک اصلاحیه جهت وصلهی رخنههای افزایش حق دسترسی و رخنههایی بود که موجب افشای اطلاعات میشد و گوگل آنها را بسیار جدی ارزیابی کرده بود. گوگل گفته است که رخنهی افزایش حق دسترسی میتوانست به مهاجم اجازه دهد تا مجوزهایی در سامانه به دست آورد که تنها به صورت محلی قابل دستیابی هستند و نه از راه دور به وسیله سایر نرمافزارها، و رخنه افشای اطلاعات در حین برقراری ارتباطات توسط مدیاسرور رخ میداد و اقدامات امنیتی را دور میزد. علاوه بر آن گوگل یک آسیبپذیری افزایش حق دسترسی با شناسهی CVE-۲۰۱۵-۶۶۱۹ را نیز در هسته اصلاح کرد. یک مهاجم میتوانست از یک نرمافزار آلوده استفاده کند تا یک کد را در سطح ریشه سامانهی اجرا نماید که موجب لطمه اساسی به دستگاه میشد. گوگل گفته است که در این صورت دستگاه باید حتماً دوباره فلش شود. یک رخنه در اجرای یک کد از راه دور نیز در موتور گرافیکی Android Skia با شناسهی CVE-۲۰۱۵-۶۶۱۷ اصلاح شد. یک مهاجم میتوانست به اشکال مختلف نظیر استفاده از رایانامه، مرورگر وب و MMS هنگام پردازش پروندههای رسانهای از این آسیبپذیری بهرهبرداری کند. سایر نقاط آسیبپذیری حیاتی در درایورهای صفحه نمایش اندروید اصلاح شدند، که به وسیله پردازش راه دورِ پروندههای رسانهای میتوانستند مورد بهرهبرداری قرار گیرند. گوگل گفته است که در این مورد از طریق MMS یا رایانامه، و محتوای آلوده مرورگر سامانه مورد سوءاستفاده قرار میگیرد و در نتیجه آن تخریب حافظه رخ داده و کد مخرب اجرا میشود. همچنین گوگل آسیبپذیریهای دیگری را در بلوتوث، رابط کاربری، کتابخانه سفتافزارهای محلی، وایفای، کارگزار سامانه، سفتافزار صدا و رسانه که خطر آنها بالا ارزیابی شده بود اصلاح کرد. گوگل نقایص متوسط ارزیابیشده دیگری نیز در کارگزار سامانه و رابط کاربری آن اصلاح کرده است. گفتنی است این بهروزرسانیها فقط برای تلفنهای همراه نکسوس عرضه میشود و سایر شرکتها باید از پروژهی متنباز اندروید به روزرسانیها را دریافت کرده و با اعمال تغییرات لازم آنها را برای مشتریان خود منتشر نمایند، که البته در چند ماه گذشته شرکتهایی مانند سامسونگ و الجی در انتشار بهروزرسانیها بسیار ضعیف عمل کردهاند. لینک به دیدگاه به اشتراک گذاری در سایت های دیگر More sharing options...
پست های پیشنهاد شده
بایگانی شده
این موضوع بایگانی و قفل شده و دیگر امکان ارسال پاسخ نیست.