Google vá nhiều lỗ hổng nghiêm trọng trên Android
Bản tin cập nhật bảo mật tháng 11/2017 của Android được chia thành ba mức bản vá là: 2017-11-01 và 2017-11-05 bao gồm các bản vá cho lỗ hổng ở mức nghiêm trọng và nguy hiểm cao. Trong khi đó, mức bản vá 2017-11-06 chỉ giải quyết các lỗ hổng có liên quan tới tấn công KRACK, được đánh giá ở mức nguy hiểm cao.
11 lỗ hổng ở mức vá 2017-11-01 bao gồm 6 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa, 3 lỗ hổng leo thang đặc quyền và 2 lỗ hổng có thể rò rỉ thông tin.
Media framework của Android bị ảnh hưởng nhiều nhất với 7 lỗ hổng, bao gồm 5 lỗ hổng được đánh giá ở mức nghiêm trọng. Các phiên bản Android bị ảnh hưởng bao gồm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 và 8.0.
11 lỗ hổng ở mức vá bảo mật 2017-11-05 bao gồm 3 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa, 7 lỗ hổng nguy hiểm cao cho phép leo thang đặc quyền và 1 lỗ hổng nguy hiểm cao có thể tiết lộ thông tin. Các thành phần của Qualcomm bị ảnh hưởng nhiều nhất với 7 lỗ hổng được vá.
Trong một bài đăng trên trang cá nhân, Scott Bauer, nhà phát triển Linux cho biết, có tồn tại các lỗ hổng cho phép thực thi mã từ xa trên trình điều khiển wifi Qualcomm/Atheros qcacld đi kèm trong các thiết bị Pixel và Nexus 5X. Ông đã thông báo 8 lỗi này cho Google cách đây vài tháng, nhưng công ty đưa ra bản vá khá chậm. Do mức độ nghiêm trọng của các lỗ hổng, ông cho rằng mình xứng đáng được trao thưởng 22.000 USD cho phát hiện này.
Scott Bauer cho biết, lỗ hổng CVE-2017-11013 có thể được lợi dụng để tấn công các loại bộ nhớ khác nhau. Lỗ hổng này có thể là một hướng tấn công dễ dàng để thực thi mã từ xa trong nhân hệ điều hành. Nhà nghiên cứu cũng cung cấp các chi tiết kỹ thuật của hai lỗ hổng tràn bộ đệm CVE-2017-11014 và CVE-2017-11015. Hai lỗ hổng này vẫn chưa được giải quyết.
Tất cả 9 lỗ hổng trong bản vá mức 2017-11-06 đều liên quan đến tấn công KRACK - là phương pháp tấn công lợi dụng các lỗi trong giao thức bảo vệ mạng wifi WPA2. Với các sản phẩm dễ bị tấn công KRACK, các nhà cung cấp đã công bố bản vá ngay sau khi cuộc tấn công được phát hiện.
Bắt đầu từ tháng 10/2017, Google phát hành bản tin cập nhật bảo mật dành riêng cho các thiết bị Nexus và Pixel để giải quyết các lỗ hổng cụ thể trên các thiết bị này.
Bản tin cập nhật bảo mật Pixel/Nexus tháng 11/2017 bao gồm bản vá cho hơn 50 lỗ hổng ảnh hưởng đến các thành phần như Framework, Media framework, Runtime, System, Kernel, MediaTek, NVIDIA và Qualcomm. Hầu hết các lỗ hổng được đánh giá ở mức nguy hiểm thông thường và một số là nguy hiểm cao.
Google chủ yếu giải quyết các lỗ hổng cho phép leo thang đặc quyền, đồng thời vá nhiều lỗ hổng có thể rò rỉ thông tin, cho phép thực thi mã từ xa và từ chối dịch vụ. Ngoài các bản vá bảo mật, bản cập nhật cũng bao gồm các bản sửa lỗi cho các vấn đề về âm thanh, máy ảnh, bluetooth, dữ liệu di động và độ ổn định của ứng dụng.
Bình Minh – Thảo Uyên (theo Securityweek.com)