TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Google ออกแพตซ์ระดับร้ายแรงจำนวน 9 รายการและความรุนแรงสูง 19 รายการ แนะผู้ใช้งานควรอัปเดต โดยช่องโหว่สามารถทำให้เกิด Remote Code Execution (RCE), ข้อมูลรั่วไหล, การยกระดับสิทธิ์ และ DoS ได้ ซึ่ง Android ตั้งแต่ 6.0, 6.0.1, 7.0, 7.1.1, 8.0 และ 8.1 ล้วนได้รับผลกระทบทั้งสิ้น
ช่องโหว่ RCE ระดับร้ายแรง 2 รายการจะเกิดกับ Media Framework และ 1 รายการ Wi-Fi Component ของ Qualcomm ทาง Google อธิบายว่า “ผู้โจมตีสามารถใช้ไฟล์ที่ประดิษฐ์ขึ้นมาแบบพิเศษเพื่อทำให้เกิดการ Execute โค้ดในบริบทของโปรเซสที่มีระดับสิทธิ์สูงได้” ในส่วนของผลิตภัณฑ์ของ Google อย่าง Pixel และ Nexus ทางบริษัทได้แสดงรายละเอียดผลกระทบไว้ที่นี่ อย่างไรก็ตามรายละเอียดแต่ละ CVE ยังไม่ได้มีการเปิดเผยจนกว่าเจ้าของผลิตภัณฑ์ OEM (เช่น SAMSUNG เป็นต้น) จะทำการออกอัปเดตให้ลูกค้าเสียก่อน
ช่องโหว่ที่น่าสนใจคือช่องโหว่บนระบบปฏิบัติการระดับร้ายแรง 5 รายการ ประกอบด้วยช่องโหว่ RCE 5 รายการและ ช่องโหว่ที่ทำให้เกิดการยกระดับสิทธิ์ 1 รายการตามรูปด้านล่าง นอกจากนี้ทาง Google ยังได้รวบรวมแพตซ์สำหรับ Qualcomm จากหลายแห่งจำนวนหลายร้อยรายการมาแสดงไว้ใน Bulletin ด้วยเช่นกัน
ที่มา : https://threatpost.com/googles-april-android-security-bulletin-warns-of-9-critical-bugs/130936/ และ https://www.securityweek.com/google-patches-9-critical-android-vulnerabilities-april-2018-update
