Οι κάτοχοι κινητών με το διάσημο λειτουργικό της Google πρέπει να είναι ιδιαίτερα επιφυλακτικοί με τις εικόνες που ανοίγουν, είτε αυτές που έχουν κατεβάσει από διάφορες ιστοσελίδες ή εκείνες που οι χρήστες διμοιράζονται σε εφαρμογές κοινωνικής δικτύωσης και σε texting apps.

Τρεις νέες ευπάθειες που ανακαλύφθηκαν στο Android (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988) φαίνεται να επιτρέπουν σε μια κοινή εικόνα PNG να εκτελέσει κακόβουλο κώδικα στις κινητές  συσκευές.

Οι μηχανικοί της Google, οι οποίοι έχουν ήδη δημοσιεύσει τα patches για τις ευπάθειες, δεν έχουν δώσει περισσότερες πληροφορίες στο κοινό αλλά οι αναβαθμίσεις κάνουν λόγο για επιδιόρθωση μιας υπερχείλισης της προσωρινής μνήμης και κάποιων σφαλμάτων στο SkPngCodec και μερικών κομματιών του Android που ευθύνονται για το rendering των εικόνων PNG.

Καθώς μιλάμε για ένα buffer overflow, μπορούμε να κάνουμε μια εικασία πως το πρόβλημα έγκειται στο λάθος χειρισμό των εικόνων PNG από το λειτουργικό σύστημα. Πιθανώς, αν κάποιος χρήστης εισάγει κακόβουλο κώδικα στην εικόνα, ο συγκεκριμένος θα τρέξει κανονικά στο Android και θα προκαλέσει ανάλογα προβλήματα.

Μπορεί η ομάδα της Google να έχει ήδη δώσει στη δημοσιότητα τα patches για τις ευπάθειες όμως αυτό δεν συνεπάγεται με το ότι το πρόβλημα έχει διορθωθεί και σε όλες τις κινητές συσκευές. Καθώς οι διάφοροι OEMs δημοσιεύουν με διαφορετικό ρυθμό τα security patches εκατοντάδες χιλιάδες συσκευές που τρέχουν Android Nougat έως και Android Pie είναι ακόμη εκτεθιμένες, ενώ καταδικασμένες φαίνονται να είναι οι συσκευές που οι εταιρίες τους αγνοούν παντελώς την ανάγκη για ενημερώσεις ασφαλείας.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.