Buletin Keamanan Android Juli Patch Menangani 44 Celah

Google telah mengeluarkan 44 patch untuk sistem operasi Androidnya sebagai bagian dari Buletin Keamanan bulan Juli 2018. Dari kerentanan tersebut, 11 dinilai kritis dan sisanya dinilai tinggi dalam tingkat keparahan kerangka kerja bug.

Kerentanan bervariasi dari kerangka kerja OS ke framework Media bug, termasuk masalah yang terkait dengan sistem dan kernel. Google mengatakan yang paling parah dari kerentanan yang ditambal adalah cacat kritis dalam OS Android Media framework. Jika dieksploitasi, penyerang jauh dapat menggunakan file yang dibuat khusus dan mengeksekusi kode arbitrer dalam konteks proses istimewa.

Bug itu adalah salah satu dari lima eksekusi kode jarak jauh atau celah remote code execution (RCE), empat di antaranya dinilai kritis dalam keparahan. Bug RCE tersebar di platform Android yang berdampak pada Sistem handset, Kerangka Media dan Kerangka Kerja OS secara keseluruhan.

“Kerentanan [Framework] vuln paling parah (CVE-2018-9433) di bagian ini dapat memungkinkan penyerang jauh menggunakan file PAC yang dibuat khusus untuk mengeksekusi kode arbitrer dalam konteks proses istimewa,” tulis Google dalam bulletin-nya.

File PAC adalah file teks yang memerintahkan browser untuk meneruskan lalu lintas ke server proxy, bukan langsung ke server tujuan, menurut deskripsi Zscaler dari Zscaler description of a PAC.

Lebih dari dua lusin vulnerability terkait dengan bug yang ditemukan di komponen sistem Qualcomm. Cacat Qualcomm yang paling serius adalah kerentanan (CVE-2018-5872) yang dapat memungkinkan penyerang terdekat, menggunakan file yang dibuat khusus, untuk mengeksekusi kode arbitrer dalam konteks proses istimewa.

Kerentanan terkait dengan komponen WLAN open-source yang diidentifikasi sebagai "qca-wifi-host-cmn." Menurut Qualcomm, "Saat ini tidak ada pemeriksaan panjang individu untuk setiap [Elemen Informasi Suar], yang mungkin bisa menghasilkan buffer overead . ”Beacon IEs berisi semua informasi tentang jaringan WLAN.

Buletin Keamanan Juli yang terpisah dirilis untuk ponsel Pixel dan Nexus oleh Google. Para pembuat ponsel pintar Android Samsung, LG, dan lainnya juga merilis rilis buletin keamanan Juli mereka. Google merilis patch sebagai bagian dari Proyek open-source Android-nya lalu. Vendor kemudian meluncurkan patch over-the-air (OTA) ke perangkat yang memenuhi syarat selama beberapa hari dan pekan.

Share this post