Ninu ero isise aworan Qmage ti a pese ni famuwia Android Samsung, ti a ṣe sinu eto sisọ awọn aworan Skia, (CVE-2020-8899), eyiti o fun ọ laaye lati ṣeto ipaniyan koodu nigba ṣiṣe awọn aworan ni awọn ọna kika QM ati QG (“.qmg”) ni eyikeyi ohun elo. Lati gbe ikọlu kan, olumulo ko nilo lati ṣe awọn iṣe eyikeyi; ninu ọran ti o rọrun julọ, o to lati fi MMS, imeeli tabi ifiranṣẹ iwiregbe ranṣẹ si olufaragba naa ti o ni aworan apẹrẹ pataki kan.
A gbagbọ pe iṣoro naa ti wa lati ọdun 2014, bẹrẹ pẹlu famuwia ti o da lori Android 4.4.4, eyiti o ṣafikun awọn ayipada lati mu awọn ọna kika aworan QM, QG, ASTC ati PIO (iyatọ PNG) afikun. Ipalara в Famuwia Samusongi ti tu silẹ ni Oṣu Karun ọjọ 6th. Syeed Android akọkọ ati famuwia lati ọdọ awọn aṣelọpọ miiran ko ni ipa nipasẹ iṣoro naa.
Iṣoro naa jẹ idanimọ lakoko idanwo fuzz nipasẹ ẹlẹrọ lati ọdọ Google, ẹniti o tun fihan pe ailagbara naa ko ni opin si awọn ipadanu ati pese apẹrẹ iṣẹ kan ti ilokulo ti o kọja aabo ASLR ati ṣe ifilọlẹ ẹrọ iṣiro nipasẹ fifiranṣẹ lẹsẹsẹ awọn ifiranṣẹ MMS si Samusongi kan Foonuiyara Agbaaiye Akọsilẹ 10+ ti n ṣiṣẹ pẹpẹ Android 10.
Ninu apẹẹrẹ ti o han, ilokulo aṣeyọri nilo isunmọ iṣẹju 100 lati kọlu ati firanṣẹ awọn ifiranṣẹ to ju 120 lọ. Iwa nilokulo ni awọn ẹya meji - ni ipele akọkọ, lati fori ASLR, adirẹsi ipilẹ jẹ ipinnu ni awọn ile-ikawe libskia.so ati libhwui.so, ati ni ipele keji, iwọle si ẹrọ latọna jijin ni a pese nipasẹ ifilọlẹ “iyipada” ikarahun". Ti o da lori ifilelẹ iranti, ipinnu adirẹsi ipilẹ nilo fifiranṣẹ lati awọn ifiranṣẹ 75 si 450.
Ni afikun, o le ṣe akiyesi Le ṣeto awọn atunṣe aabo fun Android, eyiti o ṣeto awọn ailagbara 39. Awọn ọran mẹta ni a ti sọtọ ipele eewu to ṣe pataki (awọn alaye ko tii ṣe afihan):
- CVE-2020-0096 jẹ ailagbara agbegbe ti o fun laaye ipaniyan koodu nigba ṣiṣe faili ti a ṣe apẹrẹ pataki);
- CVE-2020-0103 jẹ ailagbara latọna jijin ninu eto ti o fun laaye ipaniyan koodu nigba ṣiṣe awọn data ita ti a ṣe apẹrẹ pataki);
- CVE-2020-3641 jẹ ailagbara ninu awọn paati ohun-ini Qualcomm).
orisun: opennet.ru