SVE-2019-15.435 er en af 21 sårbarheder i Samsung-enheder, som påvirker Galaxy S8, S9, S10, S10e, S10 Mere, S10 5G, Note 9, Note 10 og Note 10 Plus brugere.
SVE-2019-15.435 især er et kritisk spørgsmål, der beskrives som følgende: “Enhancement i IMEI sikkerhed mekanisme er nødvendig for bedre beskyttelse mod potentiel IMEI manipulation.” Ikke nok information er i øjeblikket tilgængelig om dette kritiske sårbarhed.
Af 21 fejl, ene er kritisk, tre er vurderet som “høj” i sværhedsgrad, 17 er relateret til Samsungs En brugergrænseflade, og fire er Android-relaterede.
ALL-2019-15.435, Samsung Galaxy Issues
Den Oktober 2019 Samsung sikkerhed frigivelse vedligeholdelse, kort kaldet SMR, er rullende ud til brugere af de forskellige Galaxy enheder. SMR indeholder patches fra Google for Galaxy 10 og tidligere udgivelser. Der er også sårbarheder påvirker Galaxy 8 og Galaxy 9 brugere, såsom den kritiske SVE-2019-15.435.
Samsung Mobile udgiver en vedligeholdelse overgang til de store flagskib modeller som en del af månedlige Sikkerhed Vedligeholdelse Frigivelse(SMR) behandle. Denne SMR pakke inkluderer patches fra Google og Samsung.
Desværre, ikke nok information er i øjeblikket tilgængelig om dette kritiske spørgsmål, som påvirker også Galaxy S9 og Note 9. Hvad er kendt er, at sårbarheden er blevet omtalt privat, Forbes rapporteret. Det potentielle antal brugere, der påvirkes er 40 million - der er ca. 30 millioner Galaxy 9 smartphones sælges til brugere, og 10 millioner Galaxy Note 9.
Som allerede nævnt, SVE-2019-15.435 er beskrevet som nødvendige forøgelse i IMEI (International Mobile Equipment Identity) mekanisme sikkerhed for forbedret beskyttelse mod IMEI manipulation. Der er mulighed for, at sårbarheden relateret til en teknik, der omgår IMEI sortliste som forhindrer stjålne enheder fra at blive videresolgt, Forbes bemærkede. En ren IMEI-nummer er ganske lokke til kriminelle beskæftiger sig med stjålne genstande.
Bare et par dage siden Vi advarede ejere af Huawei, Xiaomi, Samsung, LG og Google enheder om en sikkerhedsbrist i Android.
Sårbarheden er beskrevet som en anvendelse efter frigivelse hukommelse tilstand i Android Bindemiddelbestanddel, hvilket kan resultere i eskalering af privilegier. Faktisk, spørgsmålet blev lappet i Linux 4.14 LTS-kernen, Android Open Source Project (AOSP) 3.18 kerne, AOSP 4.4 kerne og AOSP 4.9 kerne i december 2017 uden at modtage en CVE identifikator.
Men, siden AOSP (Android Open Source Project) tager sig af referencen Android-koden, individuelle fabrikanter enhed ikke gennemføre den direkte. Disse producenter vedligeholde separate firmware træer til deres enheder, som ofte køre forskellige kerne versioner.
Med andre ord, hver gang en sårbarhed er fastsat i AOSP, producenter nødt til at importere plasteret og anvende det til deres tilpassede firmware kode. Problemet er, at denne proces ikke er blevet gjort for dette særlige spørgsmål, forlader sårbarhed unpatched.
Som for Samsung spørgsmål, “Bemærk at regulære OS opgraderinger i nogle tilfælde kan medføre forsinkelser til planlagte sikkerhedsopdateringer. Men, brugere kan være forvisset OS opgraderinger vil omfatte up-to-date sikkerhedsrettelser, når den leveres“, siger virksomheden i sikkerhed rådgivende.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: