April 25, 2019

Language:

CamSA19-15: ចំនុចខ្សោយធ្ងន់ធ្ងរបំផុតក្នុង Android ដែលអាចអនុញ្ញាតឲ្យមានការដំណើរការកូដពីចំងាយ (Remote Code Execution)

១. ព័ត៌មានទូទៅ

នាពេលថ្មីៗនេះ ក្រុមហ៊ុន Google បានបញ្ចេញការអាប់ដេតសន្តិសុខទៅលើផលិតផល Android របស់ខ្លួនក្នុងខែមេសា ២០១៩ ដើម្បីជួសជុលទៅលើភាពងាយរងគ្រោះ (ចំនុចខ្សោយ) ជាច្រើនដែលមាននៅក្នុង Android Open Source Project (AOSP)។

ចំនុចខ្សោយធ្ងន់ធ្ងរបំផុត​ (critical) ចំនួនពីរ ដែលមានលេខសំគាល់ CVE-2019-2027 និង​ CVE-2019-2028 ដែលមាននៅលើ Gogole Media framework (មុខងារសម្រាប់ធ្វើការគ្រប់គ្រងទៅលើ media content) និង Application Programming Interface (ធ្វើការងារជាមួយនឹង multimedia hardware)។ ចំនុចខ្សោយទាំងពីរនេះ អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើតនូវឯកសារមានមេរោគ ដែលអាចទាញយកនូវសិទ្ធិគ្រប់គ្រងទៅលើឧបករណ៍នោះបាននៅពេលដែលឯកសារនោះត្រូវបានដំណើរការ។

២.ជំនាន់ដែលរងផលប៉ៈពាល់

ឧបករណ៍ទាំងឡាយណាដែលដំណើរការ Android ជំនាន់ទី 7.0 ឡើងទៅ

៣. ផលវិបាក

ការវាយលុកដោយជោគជ័យនឹងអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារ ដំណើរការនូវកូដពីចំងាយនៅលើឧបករណ៍រងគ្រោះ ដែលអាចឲ្យអ្នកវាយប្រហារធ្វើការគ្រប់គ្រងទាំងស្រុងទៅលើឧបករណ៍នោះ។

៤. អនុសាសន៍ណែនាំ

អ្នកប្រើប្រាស់ត្រូវបើកនូវមុខងារអាប់ដេតដោយស្វ័យប្រវត្តិ (automatic update) ឬក៏ធ្វើការអាប់ដេតទៅកាន់ជំនាន់ចុងក្រោយបង្អស់ទៅតាមផលិតផលនៃក្រុមហ៊ុននីមួយៗដែលប្រើប្រាស់ Android។

៥.​ ឯកសារពាក់ព័ន្ធ

https://source.android.com/security/bulletin/2019-04-01.html