A Google lançou os patches de maio de 2019 com oito falhas críticas no sistema operativo do Google, incluindo quatro vulnerabilidades de execução remota de código.
O Google não tem indicadores se estas falhas têm sido exploradas in-the-wild por atacantes.
De acordo com o comunicado divulgado pelo Google, o bug mais grave afeta a estrutura multimédia. Um invasor pode explorar a falha, identificada como CVE-2019-2044, usando um ficheiro especialmente criado para executar código arbitrário dentro do contexto de um processo privilegiado.
“The most severe of these issues is a critical security vulnerability in Media framework that could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process.” reads the advisory.
A vulnerabilidade afeta o Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 e 9 e foi abordada em todos os dispositivos que executam o nível de patch de segurança do Android 2019-05-01.
Este patch resolve também 5 bugs de alta gravidade no sistema, identificados como CVE-2019-2049, CVE-2019-2050, CVE-2019-2051, CVE-2019-2052, CVE-2019-2053.
O CVE-2019-2049 e CVE-2019-2050 são falhas de elevação de privilégio, o CVE-2019-2051, CVE-2019-2052 e CVE-2019-2053 são falhas de divulgação de informações (information disclosure).
As falhas mais graves são quatro vulnerabilidades críticas nos componentes de código fechado da Qualcomm e identificadas como CVE-2018-5912, CVE-2018-13898, CVE-2019-2255 e CVE-2019-2256.
Para mais informação sobre as vulnerabilidades ver o boletim da Google aqui.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.