Google corrige quatro falhas RCE no Android no patch de maio de 2019.

A Google lançou os patches de maio de 2019 com oito falhas críticas no sistema operativo do Google, incluindo quatro vulnerabilidades de execução remota de código.

O Google não tem indicadores se estas falhas têm sido exploradas in-the-wild por atacantes.

De acordo com o comunicado divulgado pelo Google, o bug mais grave afeta a estrutura multimédia. Um invasor pode explorar a falha, identificada como CVE-2019-2044, usando um ficheiro especialmente criado para executar código arbitrário dentro do contexto de um processo privilegiado.

“The most severe of these issues is a critical security vulnerability in Media framework that could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process.” reads the advisory.

A vulnerabilidade afeta o Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 e 9 e foi abordada em todos os dispositivos que executam o nível de patch de segurança do Android 2019-05-01.

Este patch resolve também 5 bugs de alta gravidade no sistema, identificados como CVE-2019-2049, CVE-2019-2050, CVE-2019-2051, CVE-2019-2052, CVE-2019-2053.

O CVE-2019-2049 e CVE-2019-2050 são falhas de elevação de privilégio, o CVE-2019-2051, CVE-2019-2052 e CVE-2019-2053 são falhas de divulgação de informações (information disclosure).

As falhas mais graves são quatro vulnerabilidades críticas nos componentes de código fechado da Qualcomm e identificadas como CVE-2018-5912, CVE-2018-13898, CVE-2019-2255 e CVE-2019-2256.

Para mais informação sobre as vulnerabilidades ver o boletim da Google aqui.