การอัปเดตความปลอดภัยครั้งแรกของ Google สำหรับ Android ในปี 2020 แก้ไขข้อบกพร่องด้านความปลอดภัยด้วยการให้คะแนนความรุนแรง "สูงและวิกฤต"

ระบบปฏิบัติการ Android สำหรับสมาร์ทโฟนของ Google ได้รับการอัปเดตความปลอดภัยครั้งแรกของปีใหม่ การอัปเดตความปลอดภัยครั้งแรกของ Google ในปี 2020 ได้แก้ไขข้อบกพร่องของ Android 7 ข้อที่จัดว่าสูงและสำคัญ แม้ว่าจำนวนและระดับความรุนแรงอาจดูมีความเกี่ยวข้อง แต่ระบบปฏิบัติการ Android ก็เริ่มดีขึ้นในการกันแฮกเกอร์และตัวเขียนโค้ดที่เป็นอันตราย

Android Security Bulletin ฉบับแรกของ Google ในปี 2020 ได้รวมแพตช์สำหรับข้อบกพร่องที่สำคัญในระบบปฏิบัติการสมาร์ทโฟน ข้อบกพร่องหากดำเนินการอย่างถูกต้องและประสบความสำเร็จอาจทำให้แฮ็กเกอร์สามารถเรียกใช้โค้ดโดยพลการไม่ได้รับอนุญาตและอาจเป็นอันตรายได้ ข้อบกพร่องด้านความปลอดภัยซึ่งได้รับการแก้ไขแล้วขณะนี้สามารถสั่งการได้จากระยะไกล กล่าวอีกนัยหนึ่งก็คือไม่จำเป็นต้องให้แฮ็กเกอร์ครอบครองอุปกรณ์ Android จริงและไม่ต้องการให้ผู้โจมตีอยู่ในเครือข่ายเดียวกันเพื่อทำการแฮ็ก

การอัปเดตความปลอดภัยของ Google Android 2020 Patches Remote Coder Execution (RCE) Flaw:

Google ออกการอัปเดตแพตช์ความปลอดภัยครั้งแรกสำหรับ Android OS ของปีนี้และมีการป้องกันข้อบกพร่อง Remote Coder Execution (RCE) ซึ่งเป็นหนึ่งในช่องโหว่ที่สำคัญและมีความรุนแรงสูง 7 ประการ Google News Bulletin กล่าวถึงช่องโหว่โดยสังเขป แต่ไม่ได้ให้รายละเอียดเนื่องจากปัญหาด้านความปลอดภัย

“ ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญใน Media framework ที่สามารถเปิดใช้งานผู้โจมตีระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ”

ยักษ์ใหญ่ด้านการค้นหาซึ่งพัฒนาและดูแลระบบปฏิบัติการสมาร์ทโฟนที่ใช้กันอย่างแพร่หลายมากที่สุดในโลกกล่าวว่าข้อบกพร่องด้านความปลอดภัย RCE ที่ติดแท็ก CVE-2020-0002 อย่างเป็นทางการและทำเครื่องหมายว่า "รุนแรง" มีอยู่ใน Media framework ของ Android เฟรมเวิร์กรวมถึงการรองรับการเล่นสื่อทั่วไปหลายประเภท ไม่จำเป็นต้องเพิ่มสิ่งนี้เป็นพื้นฐานของการใช้และการใช้มัลติมีเดียของสมาร์ทโฟนเนื่องจากช่วยให้ผู้ใช้ฟังเสียงและเข้าถึงวิดีโอและรูปภาพ

CVE-2020-0002 RCE Security Flaw ส่งผลกระทบต่อระบบปฏิบัติการ Android เวอร์ชัน 8.0, 8.1 และ 9 แม้ว่า Google จะระบุไว้เป็นพิเศษ แต่ Android เวอร์ชัน 10 ล่าสุดดูเหมือนจะไม่ได้รับผลกระทบจากข้อบกพร่องดังกล่าว นอกจากข้อบกพร่อง CVE-2020-0002 แล้ว Google ยังแก้ไขข้อบกพร่องระดับความสูงของสิทธิ์ที่มีความรุนแรงสูง (CVE-2020-0001, CVE-2020-0003)

บริษัท ยังได้แก้ไขข้อบกพร่องของการปฏิเสธการให้บริการ (DoS) (CVE-2020-0004) ในกรอบงาน Android ซึ่ง "สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในพื้นที่เพื่อข้ามข้อกำหนดในการโต้ตอบกับผู้ใช้เพื่อให้สามารถเข้าถึงสิทธิ์เพิ่มเติมได้" ช่องโหว่ด้านความปลอดภัยที่เหลืออีก 3 ช่องซึ่งติดแท็ก CVE-2020-0006, CVE-2020-0007, CVE-2020-0008 อาจ "อาจนำไปสู่การเปิดเผยข้อมูลระยะไกลโดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม"

นอกเหนือจากข้อบกพร่องเหล่านี้ Google ยังได้แก้ไขช่องโหว่อื่น ๆ อีกยี่สิบเก้าช่อง บังเอิญพวกเขาเกี่ยวข้องกับส่วนประกอบของ Qualcomm เป็นหลัก ข้อบกพร่องด้านความรุนแรงที่ติดแท็กเป็น CVE-2019-17666 และถูกตั้งค่าสถานะเป็น "วิกฤต" มีอยู่ใน "ไดรเวอร์ RTLWiFi ของ Qualcomm Realtek" อาจนำไปสู่การโจมตี Remote Code Execution ไดรเวอร์ RTLWiFi ช่วยให้โมดูล Realtek Wi-Fi บางตัวสื่อสารภายในและกับอุปกรณ์ที่ใช้ระบบปฏิบัติการ Linux

การอัปเดตความปลอดภัยของ Google ครั้งล่าสุดของปี 2019 ได้แก้ไขช่องโหว่สามช่องที่มีความรุนแรงระดับวิกฤตในระบบปฏิบัติการ Android ประกาศความปลอดภัยของ Android ในเดือนธันวาคมปี 2019 ได้ทำการแก้ไขช่องโหว่ทั้งหมด 15 ช่องซึ่งแพร่กระจายภายใต้การจัดอันดับความรุนแรงสูงและปานกลาง