සැම්සුන් ඇන්ඩ්රොයිඩ් ෆර්ම්වෙයාර් හි සපයා ඇති Qmage රූප සකසනය තුළ, Skia චිත්රක විදැහුම්කරණ පද්ධතියට ගොඩනගා ඇත, (CVE-2020-8899), ඕනෑම යෙදුමක QM සහ QG (“.qmg”) ආකෘතිවල රූප සැකසීමේදී කේත ක්රියාත්මක කිරීම සංවිධානය කිරීමට ඔබට ඉඩ සලසයි. ප්රහාරයක් සිදු කිරීම සඳහා, පරිශීලකයාට කිසිදු ක්රියාවක් කිරීමට අවශ්ය නැත; සරලම අවස්ථාවෙහිදී, වින්දිතයාට විශේෂයෙන් නිර්මාණය කරන ලද රූපයක් සහිත MMS, විද්යුත් තැපෑලක් හෝ කතාබස් පණිවිඩයක් යැවීම ප්රමාණවත් වේ.
මෙම ගැටලුව Android 2014 මත පදනම් වූ ස්ථිරාංග වලින් ආරම්භ වී, අමතර QM, QG, ASTC සහ PIO (PNG ප්රභේදය) රූප ආකෘති හැසිරවීමට වෙනස්කම් එකතු කරන ලද, 4.4.4 සිට පවතින බව විශ්වාස කෙරේ. අවදානම в Samsung ස්ථිරාංග නිකුත් කළේ මැයි 6 වෙනිදා. ප්රධාන ඇන්ඩ්රොයිඩ් වේදිකාව සහ අනෙකුත් නිෂ්පාදකයින්ගේ ස්ථිරාංග ගැටලුවට බලපාන්නේ නැත.
Google හි ඉංජිනේරුවෙකු විසින් ව්යාකූල පරීක්ෂණයකදී ගැටලුව හඳුනාගෙන ඇති අතර, අවදානම බිඳ වැටීම්වලට පමණක් සීමා නොවන බව ඔප්පු කළ අතර, ASLR ආරක්ෂාව මඟහරින සහ Samsung වෙත MMS පණිවිඩ මාලාවක් යැවීමෙන් ගණක යන්ත්රය දියත් කරන සූරාකෑමක ක්රියාකාරී මූලාකෘතියක් සකස් කළේය. Galaxy Note 10+ ස්මාර්ට් ජංගම දුරකථනය Android 10 වේදිකාව මත ධාවනය වේ.
පෙන්වා ඇති උදාහරණයේ, සාර්ථක සූරාකෑමට පහර දීමට සහ පණිවිඩ 100 කට වඩා යැවීමට ආසන්න වශයෙන් මිනිත්තු 120 ක් අවශ්ය වේ. සූරාකෑම කොටස් දෙකකින් සමන්විත වේ - පළමු අදියරේදී, ASLR මඟ හැරීම සඳහා, මූලික ලිපිනය libskia.so සහ libhwui.so පුස්තකාලවල තීරණය කරනු ලබන අතර, දෙවන අදියරේදී, "ප්රතිලෝම" දියත් කිරීමෙන් උපාංගයට දුරස්ථ ප්රවේශය සපයනු ලැබේ. කවචය". මතක පිරිසැලසුම මත පදනම්ව, මූලික ලිපිනය තීරණය කිරීම සඳහා පණිවිඩ 75 සිට 450 දක්වා යැවීමට අවශ්ය වේ.
ඊට අමතරව, එය සටහන් කළ හැකිය අනාරක්ෂිතතා 39ක් නිරාකරණය කළ ඇන්ඩ්රොයිඩ් සඳහා ආරක්ෂක විසඳුම් සැකසීම මැයි. ගැටළු තුනකට තීරනාත්මක අවදානම් මට්ටමක් පවරා ඇත (විස්තර තවමත් අනාවරණය කර නොමැත):
- CVE-2020-0096 යනු විශේෂයෙන් නිර්මාණය කරන ලද ගොනුවක් සැකසීමේදී කේත ක්රියාත්මක කිරීමට ඉඩ සලසන දේශීය අවදානමකි);
- CVE-2020-0103 යනු විශේෂයෙන් නිර්මාණය කරන ලද බාහිර දත්ත සැකසීමේදී කේත ක්රියාත්මක කිරීමට ඉඩ සලසන පද්ධතියේ දුරස්ථ අවදානමකි);
- CVE-2020-3641 යනු Qualcomm හිමිකාර සංරචකවල අවදානමකි).
මූලාශ්රය: opennet.ru