Nội dung
Google đang bắt đầu tung ra các bản cập nhật bảo mật tháng bảy cho nền tảng hệ điều hành di động của mình để giải quyết tổng cộng 33 lỗ hổng bảo mật mới ảnh hưởng đến các thiết bị Android, trong đó có 9 lỗ hổng được xếp hạng nghiêm trọng.
Các lỗ hổng ảnh hưởng đến các thành phần khác nhau của Android, bao gồm hệ điều hành Android, khung (framework), thư viện library, media framework cũng như các linh kiện từ Qualcomm, bao gồm các mã nguồn đóng (closed-source component).
Có lỗ hổng nghiêm trọng cho phép thực thi mã từ xa
Ba trong số các lỗ hổng nghiêm trọng được vá trong tháng này nằm trong khung Media của Android. Đáng chú ý, có một lỗ hổng có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý (arbitrary code) trên thiết bị được nhắm mục tiêu trong ngữ cảnh của một quy trình đặc quyền. Để thực hiện điều này, các hacker sẽ lừa người dùng mở các tệp tin độc hại được chế tạo đặc biệt.
Google cho biết việc đánh giá mức độ nghiêm trọng của lỗ hổng được thực hiện dựa trên hiệu ứng khai thác lỗ hổng có thể có trên thiết bị bị ảnh hưởng, giả sử khi tính năng giảm thiểu rủi ro của dịch vụ và platform bị tắt phục vụ cho các mục tiêu phát triển hoặc khi tính năng này bị hacker bypass thành công.
Trong số bảy lỗ hổng nghiêm trọng còn lại, có một lỗ hổng ảnhhưởng đến Thư viện Android, một lỗ hổng ảnh hưởng đến Hệ thống (System), hai lỗhổng nằm trong các thành phần Qualcomm (một trong DSP_Service và một trongKernel) và ba lỗ hổng còn lại nằm trong các thành phần nguồn đóng Qualcomm.
Bên cạnh đó, có một lỗ hổng mức độ nghiêm trọng cao(CVE-2019-2104) nằm trong Khung Android có thể cho phép một ứng dụng độc hại đượccài đặt bypass các yêu cầu tương tác của người dùng trong nỗ lực để có quyềntruy cập vào các quyền bổ sung.
Sáu lỗ hổng nghiêm trọng được xử lý trong các thành phần củaQualcomm nằm trong Host WLAN (CVE-2019-2276, CVE-2019-2307), WLAN Driver(CVE-2019-2305), HLOS (CVE-2019-2278) và Audio (CVE -2019-2326, CVE-2019-2328).
Chưa phát hiện các hoạt động khai thác lỗ hổng trong tự nhiên
Theo tư vấn bảo mật của Android, hiện vẫn chưa phát hiện bấtcứ khai thác nào trong tự nhiên đối với các lỗ hổng được xử lý trong tháng này.
Ngoài việc phát hành các bản vá cho các lỗ hổng bảo mật, AndroidSecurity Patch cho tháng 7 năm 2019 còn bao gồm các bản sửa lỗi cho các vấn đềkhác nhau trong một số phiên bản được hỗ trợ của các thiết bị Pixel.
Người dùng điện thoại thông minh Pixel sẽ sớm nhận được bảncập nhật vào tháng 7, trong khi những người khác sẽ phải chờ các nhà sản xuấtthiết bị hoặc nhà cung cấp dịch vụ Android tung ra các bản vá bảo mật cho thiếtbị của họ.
Người dùng được khuyến nghị tải xuống các bản cập nhật bảo mật cho Android càng sớm càng tốt ngay khi các bản vá được công bố để giữ cho các thiết bị Android của mình được an toàn.
THN