Google устранила критический баг повышения прав в Android

Не отставая от Microsoft, Google также выпустила февральский набор обновлений, в котором разработчики устранили две критические уязвимости. Одна из этих брешей позволяет удалённо повысить права в системе без какого-либо взаимодействия с пользователем.

CVE-2021-39675 — идентификатор бага, получившего статус критического. Он затрагивает только последнюю на данный момент версию мобильной операционной системы — Android 12.

Такие уязвимости обычно используются в хорошо подготовленных кампаниях кибершпионажа. Тем не менее в случае CVE-2021-39675 Google не выявила признаков эксплуатации в реальных атаках.

Есть и ещё одна брешь, получившая статус критической, — CVE-2021-30317. Её нашли в одном из компонентов Qualcomm с закрытым исходным кодом, поэтому дыра угрожает лишь тем устройствам, которые используют эту аппаратную составляющую.

Пять уязвимостей высокой степени риска были пропатчены во Framework, четыре — в Media Framework, семь — в System. Также серьёзные проблемы затронули компоненты MediaTek, Unisoc и Amlogic.

Google пока не раскрывает технические подробности уязвимостей, поскольку сначала заплатки должны дойти до мобильных устройств пользователей.