Thận trọng! Bạn cần phải cẩn thận hơn khi mở một tệp hình ảnh trên điện thoại thông minh, tệp này bạn đã nhận được từ Internet hoặc thông qua tin nhắn hoặc ứng dụng e-mail.
ΝChỉ với một hình ảnh, điện thoại thông minh Android của bạn có thể thực thi mã độc ẩn bên trong tệp hình ảnh, nhờ ba lỗ hổng quan trọng được xác định gần đây, ảnh hưởng đến hàng triệu thiết bị chạy ngay cả phiên bản hệ điều hành mới nhất của Google, từ Android 7.0 Nougat đến Android 9.0 hiện tại. Bánh nướng.
Các lỗ hổng, được xác định là CVE-2019-1986, CVE-2019-1987 và CVE-2019-1988, đã được Google sửa trên Mã nguồn mở Android (AOSP) như một phần của bản cập nhật bảo mật Android.
Tuy nhiên, vì không phải nhà sản xuất thiết bị di động nào cũng phân phối các bản cập nhật bảo mật hàng tháng, nên rất khó để xác định liệu thiết bị Android của bạn có sớm nhận được các bản cập nhật bảo mật này hay không trước khi bạn trở thành nạn nhân của lỗ hổng này.
Mặc dù các kỹ sư của Google vẫn chưa tiết lộ chi tiết kỹ thuật để giải thích các lỗ hổng này, nhưng các bản cập nhật của Changelog gọi chúng là các bản sửa lỗi "tràn bộ đệm", "lỗi SkPngCodec" và các lỗi liên quan đến PNG.
Theo Google, một trong ba lỗ hổng mà Google cho là nghiêm trọng nhất, có thể cho phép tệp hình ảnh Portable Network Graphics (.PNG) độc hại thực thi mã độc trên các thiết bị Android dễ bị tấn công. Theo Google, "lỗ hổng nghiêm trọng nhất trong số này là một lỗ hổng bảo mật nghiêm trọng có thể cho phép kẻ xâm nhập từ xa sử dụng tệp PNG được xử lý đặc biệt để thực thi mã độc hại với tư cách là quản trị viên hệ thống. "
Kẻ xâm nhập từ xa có thể lợi dụng lỗ hổng này bằng cách nhắc người dùng theo nhiều cách khác nhau để mở tệp ảnh PNG (không thể phát hiện bằng mắt thường) trên thiết bị của họ, tệp mà họ nhận được thông qua dịch vụ nhắn tin hoặc ứng dụng email.
Tính cả ba lỗ hổng này, Google đã sửa được tổng cộng 42 lỗ hổng bảo mật trong hệ điều hành Android của mình, 11 lỗ hổng nghiêm trọng, 30 lỗ hổng có nguy cơ cao và một lỗ hổng vừa phải.
Google cho biết họ không có báo cáo nào về việc khai thác tích cực hoặc lạm dụng nghiêm trọng bất kỳ lỗ hổng nào được liệt kê trong bản tin bảo mật tháng XNUMX của mình.
Google cũng cho biết họ đã thông báo cho các đối tác của mình về tất cả các lỗ hổng bảo mật một tháng trước khi công bố, đồng thời nói thêm rằng “mã nguồn cho những vấn đề này sẽ được phát hành vào bộ nhớ AOSP (Dự án nguồn mở Android) vào 48 giờ tới”.
[the_ad_group id = ”966 ″]
