புரோஹோஸ்டர் > Блог > இணைய செய்தி > சாம்சங் ஆண்ட்ராய்டு ஃபார்ம்வேரில் உள்ள பாதிப்பு MMS அனுப்புதல் மூலம் பயன்படுத்தப்படுகிறது

சாம்சங் ஆண்ட்ராய்டு ஃபார்ம்வேரில் உள்ள பாதிப்பு MMS அனுப்புதல் மூலம் பயன்படுத்தப்படுகிறது

சாம்சங் ஆண்ட்ராய்டு ஃபார்ம்வேரில் வழங்கப்பட்ட Qmage படச் செயலியில், Skia கிராபிக்ஸ் ரெண்டரிங் அமைப்பில் கட்டமைக்கப்பட்டுள்ளது, பாதிப்பு (CVE-2020-8899), எந்தப் பயன்பாட்டிலும் QM மற்றும் QG (“.qmg”) வடிவங்களில் படங்களைச் செயலாக்கும்போது, ​​குறியீடு செயல்படுத்தலை ஒழுங்கமைக்க இது உங்களை அனுமதிக்கிறது. தாக்குதலைச் செய்ய, பயனர் எந்தச் செயலையும் செய்யத் தேவையில்லை; எளிமையான விஷயத்தில், பாதிக்கப்பட்டவருக்கு சிறப்பாக வடிவமைக்கப்பட்ட படத்தைக் கொண்ட MMS, மின்னஞ்சல் அல்லது அரட்டை செய்தியை அனுப்பினால் போதும்.

ஆண்ட்ராய்டு 2014 அடிப்படையிலான ஃபார்ம்வேரில் தொடங்கி, கூடுதல் QM, QG, ASTC மற்றும் PIO (PNG மாறுபாடு) பட வடிவங்களைக் கையாளும் வகையில் மாற்றங்களைச் சேர்த்ததில், 4.4.4 ஆம் ஆண்டு முதல் இந்தச் சிக்கல் இருப்பதாக நம்பப்படுகிறது. பாதிப்பு நீக்கப்பட்டது в மேம்படுத்தல்கள் Samsung firmware மே 6 அன்று வெளியிடப்பட்டது. பிற உற்பத்தியாளர்களிடமிருந்து முக்கிய Android இயங்குதளம் மற்றும் firmware ஆகியவை சிக்கலால் பாதிக்கப்படவில்லை.

கூகுளின் பொறியியலாளர் ஒருவரால் fuzz சோதனையின் போது இந்தச் சிக்கல் கண்டறியப்பட்டது, மேலும் பாதிப்பு என்பது செயலிழப்பிற்கு மட்டுப்படுத்தப்படவில்லை என்பதை நிரூபித்ததுடன், ASLR பாதுகாப்பைத் தவிர்த்து, சாம்சங் நிறுவனத்திற்கு தொடர்ச்சியான MMS செய்திகளை அனுப்புவதன் மூலம் கால்குலேட்டரைத் தொடங்கும் செயல்பாட்டின் முன்மாதிரியைத் தயாரித்தார். கேலக்ஸி நோட் 10+ ஸ்மார்ட்போன் ஆண்ட்ராய்டு 10 இயங்குதளத்தில் இயங்குகிறது.


காட்டப்பட்டுள்ள எடுத்துக்காட்டில், வெற்றிகரமான சுரண்டலுக்கு 100க்கும் மேற்பட்ட செய்திகளைத் தாக்கி அனுப்புவதற்கு தோராயமாக 120 நிமிடங்கள் தேவைப்படும். சுரண்டல் இரண்டு பகுதிகளைக் கொண்டுள்ளது - முதல் கட்டத்தில், ASLR ஐத் தவிர்க்க, அடிப்படை முகவரி libskia.so மற்றும் libhwui.so நூலகங்களில் தீர்மானிக்கப்படுகிறது, மேலும் இரண்டாவது கட்டத்தில், "தலைகீழ்" ஐத் தொடங்குவதன் மூலம் சாதனத்திற்கான தொலைநிலை அணுகல் வழங்கப்படுகிறது. ஷெல்". நினைவக அமைப்பைப் பொறுத்து, அடிப்படை முகவரியைத் தீர்மானிக்க 75 முதல் 450 செய்திகளை அனுப்ப வேண்டும்.

கூடுதலாக, அதை கவனிக்க முடியும் வெளியீடு ஆண்ட்ராய்டுக்கான பாதுகாப்புத் திருத்தங்களை அமைக்கலாம், இது 39 பாதிப்புகளை சரிசெய்தது. மூன்று சிக்கல்களுக்கு அபாயகரமான நிலை ஒதுக்கப்பட்டுள்ளது (விவரங்கள் இன்னும் வெளியிடப்படவில்லை):

  • CVE-2020-0096 என்பது ஒரு உள்ளூர் பாதிப்பு ஆகும், இது சிறப்பாக வடிவமைக்கப்பட்ட கோப்பை செயலாக்கும்போது குறியீட்டை செயல்படுத்த அனுமதிக்கிறது);
  • CVE-2020-0103 என்பது சிறப்பாக வடிவமைக்கப்பட்ட வெளிப்புறத் தரவைச் செயலாக்கும்போது குறியீட்டை செயல்படுத்த அனுமதிக்கும் அமைப்பில் உள்ள தொலைநிலை பாதிப்பு ஆகும்);
  • CVE-2020-3641 என்பது குவால்காம் தனியுரிம கூறுகளில் உள்ள பாதிப்பு).

ஆதாரம்: opennet.ru

கருத்தைச் சேர்