Google vá lỗ hổng nghiêm trọng trong Media Framework Android

Google đã thực hiện vá những lỗ hổng nghiêm trọng trong Media Framework của hệ điều hành Android. Nếu khai thác thành công lỗ hổng, tin tặc có thể thực hiện các cuộc tấn công thực thi mã từ xa trên các thiết bị dễ bị tấn công.

Google đã vá tổng cộng 53 lỗ hổng được định danh CVE trong bản cập nhật bảo mật tháng 9 cho hệ điều hành Android. Trong khi đó, Qualcomm - công ty có chip được sử dụng trong các thiết bị của Android cũng vá một loạt các lỗ hổng bảo mật xếp hạng cao và nghiêm trọng liên quan đến 22 lỗ hổng CVE.

Theo một bài viết ngày 08/9/2020 trên trang chủ về bản cập nhật bảo mật của Android, có thể thấy rằng vấn đề nghiêm trọng tồn tại trong Media Framework cho phép kẻ tấn công từ xa sử dụng tệp được tạo đặc biệt để thực thi mã tùy ý trong thiết bị được nhắm mục tiêu với một quy trình đặc quyền.

Android Media Framework hỗ trợ phát triển nhiều loại hình đa phương tiện phổ biến. Chính vì vậy, người dùng có thể sử dụng dễ dàng những chức năng như: âm thanh, video và hình ảnh. Lỗ hổng CVE-2020-0245 cho phép thực thi mã từ xa trong các phiên bản Android 8.0, 8.1 và 9.

Ngoài sự cố nghiêm trọng này, Android Media Framework còn tồn tại 05 lỗ hổng có thể gây lộ thông tin gồm: CVE-2020-0381, CVE-2020-0383, CVE-2020-0384, CVE- 2020-0385, CVE-2020-0393 và 01 lỗ hổng cho phép leo thang đặc quyền CVE-2020-0392.

Ngoài ra, 2 lỗ hổng nghiệm trọng khác tồn tại trong hệ thống của Android đã được vá là CVE-2020-0380 và CVE-2020-0396, chúng đều ảnh hướng đến các phiên bản Android 8.0, 8.1, 9 và 10.

Theo Google thì những sai sót này có thể cho phép kẻ tấn công sử dụng đường truyền độc hại để thực thi mã tùy ý trong thiết bị được nhắm mục tiêu với một quy trình đặc quyền. ở mức độ cao, Android Media Framework tồn tại hai lỗ hổng CVE-2020-0386, CVE-2020-0394 và lỗ hổng công bố thông tin CVE-2020-0379.

Bên cạnh đó, 10 lỗ hổng có mức độ nghiêm trọng cao cũng tồn tại trong Android Framework là một tập hợp các API bao gồm các công cụ hệ thống và công cụ thiết kế giao diện người dùng. Google cũng tung ra các bản vá cho các sai sót trong các thành phần của bên thứ ba khác trong hệ sinh thái Android của mình. Bao gồm 4 lỗ hổng nghiêm trọng ảnh hướng đến MediaTek (Mediatek và Google hợp tác trên nền tảng TV Ultra HD của Android TV) liên quan đến các vấn đề ảnh hướng đến trình điều khiển âm thanh của Android. Trong khi đó, 3 lỗ hổng có mức độ nghiêm trọng cao trong Android bao gồm: lỗ hổng nâng cấp đặc quyền trọng hệ thống con lưu trữ CVE-2020-0402 và lỗ hổng trong trình điều khiển USB CVE-2020-0407.

Cùng với đó, 22 lỗ hổng có mức độ nghiêm trọng cao và nghiêm trọng đã được sửa trong các thành phần của Qualcomm, trong đó có 5 lỗ hổng trong nhân và những sai sót còn lại của Qualcomm nằm ở các thành phần nguồn đóng. Các nhà sản xuất thiết bị Android thường tung ra các bản vá của mình để giải quyết các bản cập nhật song song.