کمپانی گوگل در ماه نوامبر 2018 به روز رسانی های مهم امنیتی سیستم عامل اندروید خود را برای تمامی کاربران و توسعه دهندگان این سیستم عامل منتشر کرد که شامل رفع #آسیب_پذیری های خطرناک RCE و Privilege Escalation می باشد. در اکتبر 2018 کمپانی Alphabet یک نسخه پیش نمایش از وصله های مربوط به آسیب پذیری های فوق را به صورت محرمانه از طریق OTA منتشر کرد که برای کاربران Google Pixel بود.
آسیب پذیری RCE با شماره شناسایی CVE-2018-9527 نسخه های اندروید Nougat تا نسخه Pie را تحت تاثیر خود قرار می دهد و یک آسیب پذیری RCE دیگر با شماره شناسایی CVE-2018-9531 تنها بر روی اندروید نسخه Nougat کشف شده است. این آسیب پذیری ها در بخش Media Framework قرار دارد و به نفوذگر این اجازه را می دهد که با داشتن سطح دسترسی بالا بتواند در چارچوب یک پروسه، کدهای مخرب خود را بر روی سیستم قربانی اجرا کند. همچنین دیگر آسیب پذیری ها با شماره شناسایی CVE-2018-9536 و CVE-2018-9537 که از نوع Privilege Escalation می باشند بر روی نسخه اندروید Nougat گزارش شده اند.
6 آسیب پذیری سطح بالا دیگر گزارش شده اند که پس از Exploit موفقیت آمیز آنها، نفوذگر می تواند اطلاعات خاصی از سیستم عامل قربانی را بدست بیاورد. این آسیب پذیری ها به صورت Remote بوده و اطلاعاتی از سیستم عامل و application ها که بر روی گوشی قربانی نصب می باشد را در اختیار نفوذگر قرار می دهد. برخی از این آسیب پذیری ها که از نوع leak information می باشند بر روی نسخه های Nougat و Pie قرار دارد و برخی دیگر تنها بر روی نسخه ی نهایی این سیستم عامل گزارش شده است.
همچنین کمپانی گوگل 14 آسیب پذیری امنیتی را بر روی کمپوننت های Qualcomm گزارش کرده است. آسیب پذیری شماره CVE-2017-18317 که بخش Trusted Execution Environment را تحت تاثیر خود قرار می دهد باعث دور زدن محدودیت های SIM Lock و SIM Kill می شود. آسیب پذیری Buffer Overflow بر روی کمپوننت Video آن قرار دارد که با شماره شناسایی CVE-2018-5912 معرفی شده است. همچنین آسیب پذیری Buffer Overflow بر روی بخش شناسایی fingerprint که با شماره شناسایی CVE-2018-11264 معرفی شده است بر روی کمپوننت های بیومتریک Qualcomm chipsets قرار دارد.
- 8