Những lỗ hổng thực thi mã Android được đánh dấu với các mã CVE-2019-2027 và CVE-2019-2028 là một phần của bản vá bảo mật ngày 01/04/2019, ảnh hưởng đến framework Media. Chúng có khả năng cho phép kẻ tấn công từ xa sử dụng các file được thiết kế đặc biệt để 'thực thi mã tùy ý trong bối cảnh của một quy trình có đặc quyền'.
Theo mô tả chi tiết trong security bulletin, 2 lỗ hổng nghiêm trọng ảnh hưởng đến tất cả các thiết bị Android từ phiên bản 7.0 trở lên. Người dùng được khuyến cáo nên cập nhật ngay bản vá bảo mật Android mới nhất để đề phòng trước nguy cơ tấn công.
Tổng cộng, Google đã vá 11 lỗ hổng bảo mật trong dự án AOSP. Trong số đó, 2 lỗ hổng được đánh giá là nghiêm trọng và 9 lỗ hổng khác được xem xét là cực kỳ nguy hiểm.
Mặc dù những lỗ hổng nghiêm trọng có thể dẫn đến cuộc tấn công RCE trên các thiết bị Android chưa cập nhật, những lỗ hổng khác cũng có thể được sử dụng để leo thang đặc quyền hoặc làm rò rỉ thông tin.
Chính xác khi nói, Framework CVE-2019-2026 có thể bị chiếm quyền cục bộ, vượt qua tương tác với người dùng trên các thiết bị Android 8.0 trở lên, đây là vấn đề nghiêm trọng nhất trong 8 lỗ hổng bảo mật hệ thống khác, có khả năng kích hoạt ứng dụng độc hại cục bộ thực thi mã tùy ý trong ngữ cảnh của một process đặc quyền.
Không có thông báo về việc khai thác lỗ hổng trước khi nó được tiết lộ.
Bản vá bảo mật ngày 05/04/2019 đề cập đến 4 lỗ hổng hệ thống khác, được đánh giá là cực kỳ nghiêm trọng và nghiêm trọng. Trong số đó, lỗ hổng nghiêm trọng nhất là khả năng tấn công từ xa 'sử dụng các file được thiết kế đặc biệt để thực thi mã tùy ý trong ngữ cảnh một process đặc quyền'.
Theo thông tin từ Google, không có báo cáo về việc khai thác hoặc lạm dụng những lỗ hổng này. Các vấn đề bảo mật trong bản cập nhật này được đánh giá là nghiêm trọng, dựa trên tác động của việc khai thác lỗ hổng trên các thiết bị bị xâm nhập.
Các đối tác Android đã được cảnh báo về những lỗ hổng được tiết lộ trong bản cập nhật này ít nhất một tháng trước khi công bố công khai, theo thông báo từ gã khổng lồ công nghệ.
Các bản vá mã nguồn cho những lỗ hổng này sẽ sớm được phát hành trên kho lưu trữ dự án mã nguồn mở Android (AOSP) trong vòng 48 giờ tới.
https://Mytour.vn/google-va-2-lo-hong-thuc-thi-ma-android-nghiem-trong-24729n.aspx
Người dùng Android cũng nên tự tin sử dụng các ứng dụng diệt virus hàng đầu cho thiết bị của họ. Có nhiều lựa chọn tốt như Avast, Avira... để đảm bảo an toàn cho dữ liệu cá nhân.