Компания Samsung выпустила обновление SMR-JAN-2016 для своих устройств под управлением Android, которое закрывает 16 уязвимостей в ОС и встроенном ПО. Девять из них относятся непосредственно к Android и были исправлены Google в рамках обновления Nexus Security Bulletin — January 2016, о котором мы писали ранее. Другие семь уязвимостей относятся к типу Samsung Vulnerabilities and Exposures (SVE) и находятся в сервисах или коде Samsung, работающих в Android.
Две SVE уязвимости с идентификаторами SVE-2015-5109 (Samsung Galaxy S6: android.media.process Face Recognition Memory Corruption) и SVE-2015-5110 (Samsung Galaxy S6: libQjpeg je_free Crash) относятся к типу Critical и могут позволить атакующим удаленно исполнить код на устройстве или вызвать его отключение. Обновлению подлежат такие модели устройств компании как Galaxy S5, S6, S6 edge, S6 edge+, Note 4, Note 5, Note Edge, которые работают на Android версии 4.4 (KitKat) и выше.
Уязвимость SVE-2015-4958 (msm_sensor_config security issues) присутствует в компоненте msm_sensor_config и позволяет злоумышленникам выполнить порчу памяти (memory corruption).
Уязвимость SVE-2015-5081 (Exposed provider and SQLi in SecEmailSync) в компоненте SecEmailSync позволяет обычным приложениям получить доступ к содержимому почтового ящика.
Уязвимость SVE-2015-5109 (Samsung Galaxy S6: android.media.process Face Recognition Memory Corruption) в библиотеке распознавания лиц libfacerecognition позволяет выполнить вредоносный код путем сканирования этим компонентом специальным образом сформированного BMP файла изображения.
Уязвимость SVE-2015-5110 (Samsung Galaxy S6: libQjpeg je_free Crash) в библиотеке libQjpeg.so может быть использована атакующими для повреждения памяти.
Уязвимость SVE-2015-5131 (FRP/RL Bypass issue by hacking tools) в загрузчике (bootloader) позволяет различным нелигитимным инструментам обходить механизм защиты устройства от сброса под названием Factory Reset Protection с использованием протокола Odin.
Уязвимость SVE-2015-5133 (IAndroidShm IAPAService service DoS) в реализации системных сервисов позволяет злоумышленнику аварийно завершить работу устройства.
Мы рекомендуем пользователям обновить свои устройства.
be secure.
Две SVE уязвимости с идентификаторами SVE-2015-5109 (Samsung Galaxy S6: android.media.process Face Recognition Memory Corruption) и SVE-2015-5110 (Samsung Galaxy S6: libQjpeg je_free Crash) относятся к типу Critical и могут позволить атакующим удаленно исполнить код на устройстве или вызвать его отключение. Обновлению подлежат такие модели устройств компании как Galaxy S5, S6, S6 edge, S6 edge+, Note 4, Note 5, Note Edge, которые работают на Android версии 4.4 (KitKat) и выше.
Уязвимость SVE-2015-4958 (msm_sensor_config security issues) присутствует в компоненте msm_sensor_config и позволяет злоумышленникам выполнить порчу памяти (memory corruption).
Уязвимость SVE-2015-5081 (Exposed provider and SQLi in SecEmailSync) в компоненте SecEmailSync позволяет обычным приложениям получить доступ к содержимому почтового ящика.
Уязвимость SVE-2015-5109 (Samsung Galaxy S6: android.media.process Face Recognition Memory Corruption) в библиотеке распознавания лиц libfacerecognition позволяет выполнить вредоносный код путем сканирования этим компонентом специальным образом сформированного BMP файла изображения.
Уязвимость SVE-2015-5110 (Samsung Galaxy S6: libQjpeg je_free Crash) в библиотеке libQjpeg.so может быть использована атакующими для повреждения памяти.
Уязвимость SVE-2015-5131 (FRP/RL Bypass issue by hacking tools) в загрузчике (bootloader) позволяет различным нелигитимным инструментам обходить механизм защиты устройства от сброса под названием Factory Reset Protection с использованием протокола Odin.
Уязвимость SVE-2015-5133 (IAndroidShm IAPAService service DoS) в реализации системных сервисов позволяет злоумышленнику аварийно завершить работу устройства.
Мы рекомендуем пользователям обновить свои устройства.
be secure.
Комментарии (6)
vsespb
28.01.2016 20:42А какая вообще политика обновления у самсунга. Вот есть s4 mini — для него нет обновления — это потому что не affected или потому что обновлений больше не делают, даже если есть секьюрити проблема?
batkobelomor
29.01.2016 10:06Ну у меня S6 edge+. Никаких обновлений нет ни в настройках, ни в приложениях Samsung, куда можно оперативно что-то такое запилить. Видимо, дело в Самсунг Раша, где ещё не прочитали эту новость.
memtew
29.01.2016 16:13А планшеты обновление обойдет стороной? Таб S2 всего лишь вышел в прошлом году.
REU
security.samsungmobile.com/smrupdate.html