Google har täppt till två kritiska sårbarheter i den säkerhetsuppdatering som trycktes ut igår den 1 april, och som på inget vis är ett aprilskämt. Till dessa två kritiska sårbarheter tillkommer nio sårbarheter på den lägre nivån av allvarliga sårbarheter, skriver Bleeping Computer.
De två kritiska sårbarheterna gäller fjärrexekvering av främmande kod och de nio allvarliga sårbarheterna gäller privilegieeskalering och informationsstöld. Dessa sårbarheter har nu täppts till av Google i och med den senaste säkerhetsuppdateringen inom Android Open Source Project (AOSP).
De kritiska sårbarheterna har fått koderna CVE-2019-2027 och CVE-2019-2028 och dessa påverkar Media-ramverket på ett sätt som gör att en förövare kan använda speciellt utvecklade filer som kan "exekvera godtycklig kod inom kontexten av en privilegierad process”. Bägge sårbarheterna påverkar alla versioner av Android från version 7.0 och senare. Även de nio mindre allvarliga sårbarheterna gäller Android 7.0 och senare.
Enligt Google har de inte sett att någon av dessa sårbarheter har utnyttjats i det vilda. Nivåerna på allvarligheterna har bestämts utifrån teorier om hur allvarliga de hade kunnat vara om de kommit att användas av hackare. Google säger att de även meddelat sina partners och att fixar kommer att finnas tillgängliga som öppen källkod inom 48 timmar i AOSP:s repo.
Läs också:
Åtta av de tio värsta sårbarheterna kommer från Microsoft
Mobilattackerna fördubblades 2018 – 19 av 20 attacker mot Android
