A Google lançou os patches de maio de 2019 com oito falhas críticas no sistema operativo do Google, incluindo quatro vulnerabilidades de execução remota de código.
O Google não tem indicadores se estas falhas têm sido exploradas in-the-wild por atacantes.
De acordo com o comunicado divulgado pelo Google, o bug mais grave afeta a estrutura multimédia. Um invasor pode explorar a falha, identificada como CVE-2019-2044, usando um ficheiro especialmente criado para executar código arbitrário dentro do contexto de um processo privilegiado.
“The most severe of these issues is a critical security vulnerability in Media framework that could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process.” reads the advisory.
A vulnerabilidade afeta o Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 e 9 e foi abordada em todos os dispositivos que executam o nível de patch de segurança do Android 2019-05-01.
Este patch resolve também 5 bugs de alta gravidade no sistema, identificados como CVE-2019-2049, CVE-2019-2050, CVE-2019-2051, CVE-2019-2052, CVE-2019-2053.
O CVE-2019-2049 e CVE-2019-2050 são falhas de elevação de privilégio, o CVE-2019-2051, CVE-2019-2052 e CVE-2019-2053 são falhas de divulgação de informações (information disclosure).
As falhas mais graves são quatro vulnerabilidades críticas nos componentes de código fechado da Qualcomm e identificadas como CVE-2018-5912, CVE-2018-13898, CVE-2019-2255 e CVE-2019-2256.
Para mais informação sobre as vulnerabilidades ver o boletim da Google aqui.