Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
W Androidzie bez zmian – co miesiąc paczka krytycznych podatności…
Zobaczcie na grudniową paczkę łat w Androidzie. Mamy tutaj 5 podatności RCE (remote code execution) oznaczonych jako Critical. W tym kolejne podatności w submodule Media framework. Najczęściej oznacza to możliwość wykonania kodu w systemie operacyjnym poprzez otworzenie odpowiednio spreparowanego pliku multimedialnego.
Martwi też ta podatność w obsłudze Bluetooth. Z jednej strony mamy informację: „User interaction is not needed for exploitation.”, z drugiej – Critical RCE (czyli wykonanie kodu w OS). Mieszanka naprawdę niezła. Ta podatność występowała w Androidach 7.x 8.x 9.x.
Na koniec warto zwrócić uwagę na dodatkowe, bliżej niesprecyzowane błędy klasy Critical, w komponentach od Qualcomma.
Jak widać – bez zmian w obszarze ilości krytycznych podatności w Androidzie; podejście producentów i użytkowników do łatania telefonów też raczej bez zmian. U atakujących również bez rewolucji, zacierają ręce.
–ms
A co ma user zrobic
Google udostepnia a producent olewa
User ma używać oprogramowania, które zablokuje RCE.
Głosować portfelem i kupować tylko te telefony, które mają zapewnione comiesięczne aktualizacje? Telefony w programie Android One i linia Google Pixel całkiem sensownie tu wypada.
Dokładnie, dodatkowo są jeszcze telefony z rekomendacją Android Enterprise Recommended który otrzymują aktualizację conajmniej co 90dni.
Warto sprawdzić co się kupuje.
Można nie lubić Apple za ich politykę, ale jak żyć z dziurawym Androidem? Pozdro Mateusz
Wiesz jakby isis produkowała np. skuteczniejsze środki ochrony osobistej, to też byś się zastanawiał czy kupować od nich?