Pozor! Při otevírání obrázkového souboru ve smartphonu, který jste obdrželi z internetu nebo prostřednictvím zpráv či e-mailových aplikací, musíte být opatrnější.
ΝPouhým pohledem na obrázek je možné, aby váš chytrý telefon Android spustil škodlivý kód skrytý v souboru obrázku, a to díky třem nedávno identifikovaným kritickým zranitelnostem, které postihují miliony zařízení s nejnovějšími verzemi operačního systému Google, od Androidu 7.0 Nougat, na aktuální Android 9.0 Pie.
Chyby zabezpečení označené jako CVE-2019-1986, CVE-2019-1987 a CVE-2019-1988 byly opraveny v systému Android Open Source (AOSP) společností Google v rámci aktualizace zabezpečení systému Android.
Protože však ne každý výrobce mobilních zařízení distribuuje aktualizace zabezpečení každý měsíc, je obtížné určit, zda vaše zařízení Android tyto aktualizace zabezpečení dostane brzy, než se stanete obětí této chyby zabezpečení.
Přestože inženýři společnosti Google dosud neodhalili technické podrobnosti, které by tyto zranitelnosti vysvětlily, aktualizace protokolu změn je označují jako opravy „přetečení vyrovnávací paměti“, „chyby SkPngCodec“ a chyby související s PNG.
Podle společnosti Google by jedna ze tří zranitelností, kterou Google považoval za nejzávažnější, mohla umožnit škodlivému obrázkovému souboru Portable Network Graphics (.PNG) spustit škodlivý kód na zranitelných zařízeních Android. Podle společnosti Google „nejzávažnější z těchto problémů je kritická bezpečnostní chyba, která by mohla umožnit vzdálenému narušiteli použít speciálně zpracovaný soubor PNG ke spuštění škodlivého kódu jako správce systému."
Vzdálený narušitel by mohl využít této chyby zabezpečení tím, že by jednoduše vyzval uživatele různými způsoby, aby na svých zařízeních otevřeli soubor obrázku PNG (který není možné zjistit pouhým okem), který obdrželi prostřednictvím služby zasílání zpráv nebo aplikace. .
Včetně těchto tří nedostatků Google ve svém operačním systému Android opravil celkem 42 bezpečnostních slabin, z nichž 11 je kritických, 30 vysoce rizikových a jednu středně závažnou.
Google uvedl, že nemá žádné zprávy o aktivním zneužívání nebo vážném zneužití kterékoli ze zranitelností uvedených v únorovém bezpečnostním bulletinu.
Google také uvedl, že měsíc před zveřejněním informoval své partnery o všech zranitelnostech a dodal, že „zdrojový kód těchto problémů bude uvolněn do úložiště AOSP (Android Open Source Project) během příštích 48 hodin “.
[the_ad_group id = ”966 ″]
