SVE-2019-15435は 21 GalaxyS8に影響を与えるSamsungデバイスの脆弱性, S9, S10, S10e, S10 Plus, S10 5G, ノート 9, ノート 10 および注 10 プラスユーザー.
特にSVE-2019-15435は重大な問題です, これは次のように説明されています: “潜在的なIMEI操作に対する保護を強化するには、IMEIセキュリティメカニズムの強化が必要です.” 現在、この重大な脆弱性に関する十分な情報はありません。.
の 21 欠陥, 1つは重要です, 3つはとして評価されます “高い” 重大度, 17 SamsungのOneユーザーインターフェイスに関連しています, と4つはAndroid関連です.
SVE-2019-15435, サムスンギャラクシーの問題
The 10月 2019 サムスン セキュリティメンテナンスリリース, 略してSMRとして知られています, さまざまなGalaxyデバイスのユーザーに展開しています. SMRには、GoogleforGalaxyのパッチが含まれています 10 および以前のリリース. Galaxyに影響を与える脆弱性もあります 8 とギャラクシー 9 ユーザー, 重要なSVE-2019-15435など.
サムスンモバイルは、毎月のセキュリティメンテナンスリリースの一環として、主要なフラッグシップモデルのメンテナンスリリースをリリースしています(SMR) 処理する. このSMRパッケージには、GoogleとSamsungのパッチが含まれています.
不運にも, GalaxyS9とNoteにも影響を与えるこの重大な問題については現在十分な情報がありません 9. 知られていることは、脆弱性が非公開で開示されていることです, フォーブス 報告. 影響を受けるユーザーの潜在的な数は 40 百万–およそあります 30 ミリオンギャラクシー 9 ユーザーに販売されたスマートフォン, と 10 ミリオンギャラクシーノート 9.
すでに述べたように, SVE-2019-15435は、IMEIで必要な拡張機能として説明されています (International Mobile Equipment Identity) IMEI操作に対する保護を強化するためのセキュリティメカニズム. 盗まれたデバイスの転売を防ぐIMEIブラックリストを回避する技術に関連する脆弱性が存在する可能性があります, フォーブスは指摘した. きれいなIMEI番号は、盗品を扱う犯罪者を非常に魅了しています.
ほんの数日前 Huaweiの所有者に警告しました, Xiaomi, サムスン, LGとGoogle Androidのセキュリティ上の欠陥に関するデバイス.
この脆弱性は、AndroidBinderコンポーネントの解放後のメモリ状態として説明されています, 特権の昇格につながる可能性があります. 実際には, この問題はLinuxでパッチが適用されました 4.14 LTSカーネル, Androidオープンソースプロジェクト (AOSP) 3.18 カーネル, AOSP 4.4 カーネルとAOSP 4.9 12月のカーネル 2017 CVE識別子を受け取らずに.
でも, AOSP以降 (Android Open Source Project) 参照Androidコードを処理します, 個々のデバイスメーカーはそれを直接実装していません. これらのメーカーは、デバイス用に個別のファームウェアツリーを維持しています, 多くの場合、異なるカーネルバージョンを実行します.
言い換えると, AOSPで脆弱性が修正されるたび, メーカーはパッチをインポートして、カスタマイズしたファームウェアコードに適用する必要があります. 問題は、この特定の問題に対してこのプロセスが実行されていないことです。, 脆弱性にパッチを適用しないままにする.
サムスンの問題について, “場合によっては、定期的なOSのアップグレードにより、計画されたセキュリティ更新が遅れる可能性があることに注意してください. でも, OSのアップグレードには、配信時に最新のセキュリティパッチが含まれるので、ユーザーは安心できます。“, 同社はセキュリティアドバイザリーで述べた.