Bản tin cập nhật bảo mật tháng 11/2017 của Android được chia thành ba mức bản vá là: 2017-11-01 và 2017-11-05 bao gồm các bản vá cho lỗ hổng ở mức nghiêm trọng và nguy hiểm cao. Trong khi đó, mức bản vá 2017-11-06 chỉ giải quyết các lỗ hổng có liên quan tới tấn công KRACK, được đánh giá ở mức nguy hiểm cao.
11 lỗ hổng ở mức vá 2017-11-01 bao gồm 6 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa, 3 lỗ hổng leo thang đặc quyền và 2 lỗ hổng có thể rò rỉ thông tin.
Media framework của Android bị ảnh hưởng nhiều nhất với 7 lỗ hổng, bao gồm 5 lỗ hổng được đánh giá ở mức nghiêm trọng. Các phiên bản Android bị ảnh hưởng bao gồm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 và 8.0.
11 lỗ hổng ở mức vá bảo mật 2017-11-05 bao gồm 3 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa, 7 lỗ hổng nguy hiểm cao cho phép leo thang đặc quyền và 1 lỗ hổng nguy hiểm cao có thể tiết lộ thông tin. Các thành phần của Qualcomm bị ảnh hưởng nhiều nhất với 7 lỗ hổng được vá.
Trong một bài đăng trên trang cá nhân, Scott Bauer, nhà phát triển Linux cho biết, có tồn tại các lỗ hổng cho phép thực thi mã từ xa trên trình điều khiển wifi Qualcomm/Atheros qcacld đi kèm trong các thiết bị Pixel và Nexus 5X. Ông đã thông báo 8 lỗi này cho Google cách đây vài tháng, nhưng công ty đưa ra bản vá khá chậm. Do mức độ nghiêm trọng của các lỗ hổng, ông cho rằng mình xứng đáng được trao thưởng 22.000 USD cho phát hiện này.
Scott Bauer cho biết, lỗ hổng CVE-2017-11013 có thể được lợi dụng để tấn công các loại bộ nhớ khác nhau. Lỗ hổng này có thể là một hướng tấn công dễ dàng để thực thi mã từ xa trong nhân hệ điều hành. Nhà nghiên cứu cũng cung cấp các chi tiết kỹ thuật của hai lỗ hổng tràn bộ đệm CVE-2017-11014 và CVE-2017-11015. Hai lỗ hổng này vẫn chưa được giải quyết.
Tất cả 9 lỗ hổng trong bản vá mức 2017-11-06 đều liên quan đến tấn công KRACK - là phương pháp tấn công lợi dụng các lỗi trong giao thức bảo vệ mạng wifi WPA2. Với các sản phẩm dễ bị tấn công KRACK, các nhà cung cấp đã công bố bản vá ngay sau khi cuộc tấn công được phát hiện.
Bắt đầu từ tháng 10/2017, Google phát hành bản tin cập nhật bảo mật dành riêng cho các thiết bị Nexus và Pixel để giải quyết các lỗ hổng cụ thể trên các thiết bị này.
Bản tin cập nhật bảo mật Pixel/Nexus tháng 11/2017 bao gồm bản vá cho hơn 50 lỗ hổng ảnh hưởng đến các thành phần như Framework, Media framework, Runtime, System, Kernel, MediaTek, NVIDIA và Qualcomm. Hầu hết các lỗ hổng được đánh giá ở mức nguy hiểm thông thường và một số là nguy hiểm cao.
Google chủ yếu giải quyết các lỗ hổng cho phép leo thang đặc quyền, đồng thời vá nhiều lỗ hổng có thể rò rỉ thông tin, cho phép thực thi mã từ xa và từ chối dịch vụ. Ngoài các bản vá bảo mật, bản cập nhật cũng bao gồm các bản sửa lỗi cho các vấn đề về âm thanh, máy ảnh, bluetooth, dữ liệu di động và độ ổn định của ứng dụng.
Bình Minh – Thảo Uyên (theo Securityweek.com)
05:00 | 06/12/2017
23:00 | 22/12/2017
05:00 | 13/01/2018
05:00 | 27/12/2017
22:00 | 29/12/2017
14:00 | 28/10/2024
Người dùng Android gần đây đang gặp phải một vấn đề rắc rối liên quan đến Google Play, khi các bản cập nhật cho các ứng dụng hệ thống không hiển thị trên màn hình "đang tải xuống".
15:00 | 23/10/2024
Trong thời đại số hóa hiện nay, giao dịch trực tuyến ngày càng phổ biến, việc bảo vệ thông tin cá nhân trở thành một yếu tố quan trọng hơn bao giờ hết. Trung tâm Thuốc Central Pharmacy đã tiên phong trong việc đảm bảo an toàn thông tin cho khách hàng khi được Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) trao tặng chứng nhận Website Tín nhiệm mạng cơ bản. Đây là minh chứng rõ nét cho cam kết của Central Pharmacy trong việc xây dựng một môi trường trực tuyến an toàn và bảo mật, mang đến sự yên tâm cho người dùng khi giao dịch dược phẩm trực tuyến.
13:00 | 17/10/2024
Mới đây, thương hiệu robot hút bụi Ecovacs Robotics của Trung Quốc đã phát đi thông tin cảnh báo về sự cố bảo mật liên quan đến một số mẫu robot hút bụi của hãng, có thể khiến các thiết bị này bị chiếm quyền điều khiển từ xa.
13:00 | 07/10/2024
Instagram đã ra mắt một bộ tính năng mới được thiết kế để đảm bảo an toàn cho thanh thiếu niên khi sử dụng nền tảng này. Bộ tính năng này như một lá chắn kỹ thuật số, bảo vệ người dùng trẻ khỏi các tin nhắn không mong muốn, nội dung không phù hợp và thời gian sử dụng quá mức.
Đầu tháng 10 vừa qua, Synopsys Software Integrity Group đã đánh dấu một bước ngoặt mới trong hành trình phát triển của mình với việc chính thức đổi tên thương hiệu thành Black Duck (Black Duck® Software, Inc.). Black Duck hứa hẹn sẽ mang đến những giải pháp bảo mật ứng dụng toàn diện, mạnh mẽ và đáng tin cậy, giúp các tổ chức và doanh nghiệp an toàn trên hành trình chuyển đổi số.
15:00 | 29/10/2024