احتیاط! هنگام باز کردن فایل تصویری در تلفن هوشمند خود که از اینترنت یا از طریق پیام ها یا برنامه های ایمیل دریافت کرده اید، باید دقت بیشتری داشته باشید.
Νتنها با یک تصویر، تلفن هوشمند اندرویدی شما میتواند کد مخرب پنهان شده در فایل تصویر را اجرا کند، به لطف سه آسیبپذیری حیاتی اخیراً شناسایی شده که میلیونها دستگاه را تحت تأثیر قرار میدهد که حتی آخرین نسخههای سیستم عامل گوگل، از اندروید ۷.۰ نوقا تا اندروید ۹.۰ فعلی را اجرا میکنند. پای.
آسیبپذیریهایی که با نامهای CVE-2019-1986، CVE-2019-1987، و CVE-2019-1988 شناسایی شدهاند، توسط Google بهعنوان بخشی از بهروزرسانی امنیتی اندروید در Android Open Source (AOSP) رفع شدهاند.
با این حال، از آنجایی که هر سازنده دستگاه تلفن همراه هر ماه بهروزرسانیهای امنیتی را توزیع نمیکند، تعیین اینکه آیا دستگاه Android شما به زودی این بهروزرسانیهای امنیتی را دریافت میکند یا نه، قبل از اینکه قربانی این آسیبپذیری شوید، دشوار است.
اگرچه مهندسان گوگل هنوز جزئیات فنی را برای توضیح این آسیبپذیریها فاش نکردهاند، بهروزرسانیهای Changelog به آنها به عنوان رفع «سرریز بافر»، «خطاهای SkPngCodec» و خطاهای مرتبط با PNG اشاره میکنند.
به گفته گوگل، یکی از سه آسیبپذیری که گوگل آن را جدیترین آسیبپذیری میداند، میتواند به یک فایل تصویری مخرب Portable Network Graphics (.PNG) اجازه دهد تا کدهای مخرب را روی دستگاههای آسیبپذیر اندرویدی اجرا کند. به گفته گوگل، "جدیترین این مشکلات است. یک آسیب پذیری امنیتی مهم است که می تواند به یک نفوذگر راه دور اجازه دهد تا از یک فایل PNG پردازش شده ویژه برای اجرای کدهای مخرب به عنوان مدیر سیستم استفاده کند."
یک مزاحم راه دور میتواند از این آسیبپذیری استفاده کند و به سادگی از کاربران به روشهای مختلف ترغیب میکند که یک فایل تصویری PNG (که تشخیص آن با چشم غیرمسلح غیرممکن است) روی دستگاههای خود، که از طریق سرویس پیامرسانی یا یک برنامه ایمیل دریافت کردهاند، باز کنند.
با احتساب این سه نقص، گوگل در مجموع 42 آسیب پذیری امنیتی را در سیستم عامل اندروید خود برطرف کرده است که 11 مورد از آنها بحرانی، 30 آسیب پذیری پرخطر و یک آسیب پذیری متوسط هستند.
گوگل گفته است که هیچ گزارشی مبنی بر بهره برداری فعال یا سوء استفاده جدی از هیچ یک از آسیب پذیری های ذکر شده در بولتن امنیتی فوریه خود ندارد.
گوگل همچنین گفت که شرکای خود را از تمام آسیبپذیریها یک ماه قبل از انتشار اطلاع داده است و افزود که «کد منبع این مشکلات در ۴۸ ساعت آینده در فضای ذخیرهسازی AOSP (پروژه منبع باز اندروید) منتشر خواهد شد.»
[شناسه گروه_بسته = "966]