Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщает

Обнаружены три новые уязвимости для Android-устройств. При открытии графических файлов, загруженных из интернета или полученных в сообщении, пользователь рискует подвергнуть свой смартфон угрозе взлома. Уязвимости касаются версии Android от 7.0 Nougat до 9.0 Pie.

 Для эксплуатации уязвимости достаточно открыть вредоносное PNG-изображение, которое при просмотре не отличается от безобидного. Часто такие изображения распространяются в мессенджере или по электронной почте. Сконфигурированное вредоносное PNG-изображение может выполнить на устройстве произвольный код. «Наиболее опасной является критическая уязвимость в Framework, позволяющая удаленному атакующему с помощью особым образом сконфигурированного файла PNG выполнить произвольный код в контексте привилегированного процесса», - сообщается в уведомлении безопасности. 

Google пока не раскрывает никаких технических подробностей о них, однако в обновлениях упоминается исправление переполнения буфера, ошибок в SkPngCodec и ряда проблем с компонентами для рендеринга PNG-изображений. 

CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988 были исправлены в Android Open Source Project (AOSP) с выходом плановых февральских обновлений безопасности. Поскольку далеко не все производители Android-устройств выпускают обновления каждый месяц, неизвестно, когда все пользователи получат патчи с обновлениями. 

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» советуют всем пользователям Android устройств использовать свежие обновления безопасности, исправляющие уязвимость,  и с осторожностью открывать получаемые PNG-изображения.