Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/09/14

Garrantzia: Handia

Kaltetutako baliabideak:

• CT60, CN80 eta CT40, Android OS 7.1 exekutatzean
• CK75, CN51, CN75, CN75e, CT50 eta D75e, Android OS 6.0 exekutatzean
• CT50, EDA50k eta D75e, Android OS 4.4 exekutatzean
• EDA50, EDA50k, EDA70 eta EDA60k, Android OS 7.1 exekutatzean
• EDA51, Android OS 8.1 exekutatzean

Azalpena:

Google-en Android Team-ek eta Honeywellek pribilegioen kudeaketa desegokiko ahultasun bat aurkitu dute Android sistema eragilea erabiltzen duten Honeywell-en hainbat gailu mugikorretan. Erasotzaile batek aplikazio gaizto bat erabil lezake pribilegioen igoera lortzeko.

Konponbidea:

• CT60, Android OS 7.1 exekutatzean ­­- (GMS bertsioa) Android OS 84.00.11 bertsiora edo berriagora eguneratzea; (ez GMS bertsioa) Android 83.00.11 bertsiora edo berriagora eguneratzea
• CN80, Android OS 7.1 exekutatzean ­­- (GMS bertsioa) Android OS 84.00.11 bertsiora edo berriagora eguneratzea; (ez GMS bertsioa) Android 83.00.11 bertsiora edo berriagora eguneratzea
• CT40, Android OS 7.1 exekutatzean ­­- (GMS bertsioa) Android OS 84.00.11 bertsiora edo berriagora eguneratzea; (ez GMS bertsioa) Android 83.00.11 bertsiora edo berriagora eguneratzea
• CK75, Android OS 6.0 exekutatzean ­­- CommonES 4.02.00.4082 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
• CN75, Android OS 6.0 exekutatzean ­­- CommonES 4.02.00.4082 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
• CN75e, Android OS 6.0 exekutatzean ­­- CommonES 4.02.00.4082 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
• CT50, Android OS 6.0 exekutatzean ­­- CommonES 4.01.00.4134 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
• D75e, Android OS 6.0 exekutatzean ­­- CommonES 4.01.00.4134 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
• CT50, Android OS 4.4 exekutatzean ­­- CommonES 3.17.3445 edo berriagora eguneratzea
• D75e, Android OS 4.4 exekutatzean ­­- CommonES 3.17.3445 edo berriagora eguneratzea
• CN51, Android OS 6.0 exekutatzean ­­- CommonES 4.01.03.3992 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
• EDA50k, Android OS 4.4 exekutatzean ­­- CommonES 3.17.3321.10 edo berriagora eguneratzea, data honetan eskuragarri: 2018/9/21
• EDA50, Android OS 7.1 exekutatzean ­­- CommonES 5.01.01.4217 edo berriagora eguneratzea, data honetan eskuragarri: 2018/9/17
• EDA50k, Android OS 7.1 exekutatzean ­­- CommonES 5.01.01.4217 edo berriagora eguneratzea, data honetan eskuragarri: 2018/9/17
• EDA70, Android OS 7.1 exekutatzean ­­- CommonES 5.01.01.4217 edo berriagora eguneratzea, data honetan eskuragarri: 2018/9/17
• EDA60k, Android OS 7.1 exekutatzean ­­- (ez GMS) Android 206.01.00.0018 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora, data honetan eskuragarri: 2018/9/17
• EDA51, Android OS 8.1 exekutatzean ­­- CommonES 6.02.01.4593ra eguneratzea, data honetan eskuragarri: 2018/9/17

Xehetasuna:

Helburuari buruzko ezagupen aurreratuak lituzkeen erasotzaile batek sistema engainatzeko moduko aplikazio bat sor lezake eta bertan pribilegio altuak lortu. Horri esker erasotzaileak sarbidea lortuko luke honakoetara: pasahitzak, informazio pertsonala, argazkiak, emailak eta bestelako dokumentuak. Ahultasun horretarako CVE-2018-14825 identifikatzailea erreserbatu da.