ព័ត៌មាន

ក្រុមហ៊ុន Google ជួសជុលទៅលើបញ្ហានៃភាពងាយរងគ្រោះបញ្ជាកូដពីចម្ងាយចំនួន ៤ នៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Android សម្រាប់ខែ កក្កដានេះ!

Friday, ទី5 July, ឆ្នាំ2019 07:07 am 0

សង្ខេបព័ត៌មាន៖កំហុសដ៏សំខាន់បំផុតរបស់បញ្ហាសុវត្ថិភាព RCE ទាំងអស់គឺភាពងាយរងគ្រោះក្នុងប្រព័ន្ធ Media ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រើឯកសារពិសេសដើម្បីប្រតិបត្តិកូដក្នុងបរិបទដំណើរការមានអភ័យឯកសិទ្ធិ។ យោងទៅតាមព្រឹត្តិបត្រសុវត្ថិភាពប្រព័ន្ធ Android ខែកក្កដា  ឆ្នាំ២០១៩ ពុំមានរបាយការណ៍ណាមួយបង្ហាញពីការកេងប្រវ័ញ្ចសកម្ម ឬការបំពានលើភាពងាយរងគ្រោះទាំងនោះទេ។ Google ក្នុងគម្រោងកូដបើកចំហ [Android Open Source Project  (AOSP)] បានកែតម្រូវភាពងាយរងគ្រោះក្នុងការប្រតិបត្តិកូដពីចម្ងាយដ៏សំខាន់ចំនួនបីក្នុងក្របខណ្ឌប្រព័ន្ធផ្សព្វផ្សាយ(media framework) និងកំហុស RCE ផ្សេងទៀតក្នុងប្រព័ន្ធ Android។ នោះជាការជួសជុលបញ្ហាសន្តិសុខសម្រាប់ខែកក្កដា ឆ្នាំ2019 របស់ Google (July 2019 security patch )។

ភាពងាយរងគ្រោះបួនរបស់ RCE

កំហុសសំខាន់បំផុតនៃបញ្ហាសុវត្ថិភាព RCE ទាំងអស់នេះគឺភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធមេឌា(Media framework ) ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រើឯកសារពិសេសដើម្បីប្រតិបត្តិកូដក្នុងបរិបទដំណើរការដែលមានអភ័យឯកសិទ្ធិ។

  • ភាពងាយរងគ្រោះ RCE (CVE-2019-2106, CVE-2019-2107 និង CVE-2019-2109) ក្នុងកំណែប្រព័ន្ធផ្សព្វផ្សាយ AOSP កំណែ 7.0, 7.1.1, 7.1.2, 8.0, 8.1 និង 9 ។

  • ផ្ទុយទៅវិញភាពងាយរងគ្រោះ RCE នៅក្នុងប្រព័ន្ធ Android មានផលប៉ះពាល់ដល់ AOSP version 9.0 ប៉ុណ្ណោះ។ យោងតាមព្រឹត្តិបត្រសុវត្ថិភាពប្រព័ន្ធ Android ខែកក្កដា ២០១១៩ ពុំមានមានរបាយការណ៍អំពីការកេងប្រវ័ញ្ច ឬការបំពានលើភាពងាយរងគ្រោះទាំងនោះទេ។

គុណវិបត្តិចំនួនពីរ

គុណវិបត្តិនៃការដំឡើងឯកសិទ្ធិពីរនៅក្នុងប្រព័ន្ធ Android ត្រូវបានកែតម្រូវនៅក្នុងបំណះសន្តិសុខខែកក្កដា ឆ្នាំ 2019 ។

  • ដំបូង គុណវិបត្តិ EoP ត្រូវបានតាមដានដោយ CVE-2019-2112 ក្នុងប្រព័ន្ធប៉ះពាល់ដល់ AOSP កំណែ 8.0, 8.1 និង 9 ។

  • គុណវិបត្តិ EoP ទីពីរត្រូវបានតាមដានដោយ CVE-2019-2113 បង្កផលប៉ះពាល់តែ AOSP កំណែ 9.0 ប៉ុណ្ណោះ។

គុណវិបត្តិសុវត្ថិភាពផ្សេងៗ

ភាពងាយរងគ្រោះចំនួន 31ផ្សេងទៀតដែលទើបតែទទួលបានការធ្វើបច្ចុប្បន្នភាពរួមមាន៖ បណ្តាញ Android(Android system), ប្រព័ន្ធ(framework), បណ្ណាល័យ(library), ប្រព័ន្ធផ្សព្វផ្សាយ(media framework),សមាសភាគក្រុមហ៊ុន (Qualcomm components), និង សមាសភាគប្រភពបិទ(Qualcomm closed-source components)។ “គេជូនដំណឹងដល់ដៃគូរបស់ Android អំពីបញ្ហាទាំងអស់ យ៉ាងហោចណាស់រយៈពេលមួយខែមុនពេលបោះពុម្ភផ្សាយ។ ការជួសជុលលេខកូដនៃប្រភពបញ្ហាទាំងនេះត្រូវបានបញ្ចេញទៅឃ្លាំងកម្មវិធី Android Open Source Project (AOSP) ។

image

image

Tags: