Компания Samsung выпустила обновление SMR-JAN-2016 для своих устройств под управлением Android, которое закрывает 16 уязвимостей в ОС и встроенном ПО. Девять из них относятся непосредственно к Android и были исправлены Google в рамках обновления Nexus Security Bulletin — January 2016, о котором мы писали ранее. Другие семь уязвимостей относятся к типу Samsung Vulnerabilities and Exposures (SVE) и находятся в сервисах или коде Samsung, работающих в Android.



Две SVE уязвимости с идентификаторами SVE-2015-5109 (Samsung Galaxy S6: android.media.process Face Recognition Memory Corruption) и SVE-2015-5110 (Samsung Galaxy S6: libQjpeg je_free Crash) относятся к типу Critical и могут позволить атакующим удаленно исполнить код на устройстве или вызвать его отключение. Обновлению подлежат такие модели устройств компании как Galaxy S5, S6, S6 edge, S6 edge+, Note 4, Note 5, Note Edge, которые работают на Android версии 4.4 (KitKat) и выше.

Уязвимость SVE-2015-4958 (msm_sensor_config security issues) присутствует в компоненте msm_sensor_config и позволяет злоумышленникам выполнить порчу памяти (memory corruption).

Уязвимость SVE-2015-5081 (Exposed provider and SQLi in SecEmailSync) в компоненте SecEmailSync позволяет обычным приложениям получить доступ к содержимому почтового ящика.

Уязвимость SVE-2015-5109 (Samsung Galaxy S6: android.media.process Face Recognition Memory Corruption) в библиотеке распознавания лиц libfacerecognition позволяет выполнить вредоносный код путем сканирования этим компонентом специальным образом сформированного BMP файла изображения.

Уязвимость SVE-2015-5110 (Samsung Galaxy S6: libQjpeg je_free Crash) в библиотеке libQjpeg.so может быть использована атакующими для повреждения памяти.

Уязвимость SVE-2015-5131 (FRP/RL Bypass issue by hacking tools) в загрузчике (bootloader) позволяет различным нелигитимным инструментам обходить механизм защиты устройства от сброса под названием Factory Reset Protection с использованием протокола Odin.

Уязвимость SVE-2015-5133 (IAndroidShm IAPAService service DoS) в реализации системных сервисов позволяет злоумышленнику аварийно завершить работу устройства.

Мы рекомендуем пользователям обновить свои устройства.

image
be secure.

Комментарии (6)



  1. vsespb
    28.01.2016 20:42

    А какая вообще политика обновления у самсунга. Вот есть s4 mini — для него нет обновления — это потому что не affected или потому что обновлений больше не делают, даже если есть секьюрити проблема?


  1. bankinobi
    29.01.2016 08:13

    и полгода его ждать?


  1. batkobelomor
    29.01.2016 10:06

    Ну у меня S6 edge+. Никаких обновлений нет ни в настройках, ни в приложениях Samsung, куда можно оперативно что-то такое запилить. Видимо, дело в Самсунг Раша, где ещё не прочитали эту новость.


  1. memtew
    29.01.2016 16:13

    А планшеты обновление обойдет стороной? Таб S2 всего лишь вышел в прошлом году.


  1. tbl
    02.02.2016 16:47

    Что делать владельцу Galaxy S2?