Вышли новые заплатки для Android

Google устранила шесть критических багов удаленного исполнения кода в рамках октябрьского обновления системы безопасности Android. Четыре таких бреши были обнаружены в компоненте Media Framework; они актуальны для всех Android-устройств, в том числе Pixel и Nexus, а также смартфонов Samsung, Huawei и LG. «Наиболее серьезна критическая уязвимость в Framework, позволяющая с помощью специально созданного файла удаленно выполнить произвольный код в контексте текущего пользователя», — сказано в бюллетене , опубликованном в понедельник. Суммарно в Android закрыто 26 уязвимостей: восемь критических, 17 высокой степени опасности и одна умеренно опасная. Данных об активном эксплойте какой-либо из закрываемых брешей у Google нет. Обновления для Pixel и Nexus уже раздаются OTA; ожидается, что другие вендоры выпустят патчи в ближайшие дни или месяцы. Согласно бюллетеню Samsung , тоже вышедшему в понедельник, компания дополнительно закрыла четыре критические уязвимости (CVE-2016-10394, CVE-2018-11950, CVE-2018-5866 и CVE-2018-11824), которые не успела пропатчить к сентябрю. Еще несколько опасных брешей возникли из-за некорректной реализации безопасной среды выполнения (Trusted Execution Environment), которая «гарантирует защиту конфиденциальности и целостности загружаемого кода и данных», как сказано в описании на проекте AOSP. Производитель LG совокупно устранил 14 критических уязвимостей, тоже включив в набор запоздавшие патчи (CVE-2016-10394, CVE-2017-18314, CVE-2017-18311, CVE-2018-11950, CVE-2018-5866, CVE-2018-11824). Обновление предназначено для смартфонов G5, G6, V10, V20, V30,  X300, X400, X500 и X cam.