گوگل حفره‌های امنیتی Zero-Day رو تو اندروید بسته! انگار یه خطر جدی رو از سر سیستم عامل رفع کردن.

گوگل پچ‌های امنیتی ماه مارچ رو برای اندروید منتشر کرده. توسعه‌دهنده‌ها دو تا حفره امنیتی Zero-Day رو تو این سیستم عامل موبایل رفع کردن. این حفره‌ها به دزدیدن اطلاعات محرمانه و همینطور افزایش غیرمجاز دسترسی‌های کاربر اجازه می‌دادن. اندرویدهای ۱۲، 12L، ۱۳، ۱۴ و ۱۵ تحت تاثیر این حفره‌ها بودن.

اولین حفره Zero-Day تو Android Framework وجود داشته. گوگل خطر ناشی از این حفره رو بالا ارزیابی کرده. رابط کاربری Documents UI آسیب‌پذیر بوده. گوگل تو بولتن ماه مارچ از یه بهره‌برداری محدود و هدفمند از هر دو آسیب‌پذیری صحبت کرده. کاربرها با دریافت پچ امنیتی سطح ۱ مارچ، این مشکل رو برطرف می‌کنن. علاوه بر این، این اصلاحیه به عنوان یه آپدیت Google Play System هم توزیع می‌شه.

پچ امنیتی برای دومین حفره Zero-Day بخشی از پچ امنیتی سطح ۵ مارچ هست. این حفره به عنوان یه آسیب‌پذیری تو Upstream Kernel یا زیرمجموعه HID توصیف می‌شه. بنابراین بیشتر سازنده‌های دستگاه‌های اندرویدی این حفره رو تا ماه آوریل برطرف نمی‌کنن، چون معمولاً فقط پچ امنیتی سطح اول رو تو آپدیت‌های خودشون ادغام می‌کنن.

در مجموع، آپدیت ماه مارچ پچ‌های امنیتی برای ۴۵ حفره امنیتی رو به همراه داره. به غیر از Kernel و Framework، Android System و همینطور کامپوننت‌های MediaTek و Qualcomm هم آسیب‌پذیر هستن. بالاترین درجه اهمیت “بحرانی” هم برای ده آسیب‌پذیری تو Android System در نظر گرفته شده که به ویژه اجازه می‌دهن کد مخرب از راه دور وارد سیستم بشه و اجرا بشه – اما همچنین حملات Denial-of-Service رو هم روی همه نسخه‌های اندرویدی پشتیبانی‌شده ممکن می‌کنه.

شرکای اندرویدی گوگل حداقل ۳۰ روز قبل از انتشار این پچ‌ها از وجود این مشکلات تو سیستم عامل باخبر شدن. تغییرات کد هم در Android Open Source Project (AOSP) در دسترسه. دستگاه‌های پشتیبانی‌شده معمولاً آپدیت‌ها رو به صورت Over-the-Air و تو روزها و هفته‌های آینده دریافت می‌کنن.

منبع: zdnet