آسیبپذیریهای جدید اندروید که با شناسههای CVE-2019-1986 ، CVE-2019-1987 و CVE-2019-1988 معرفی شدهاند، در پروژهی اندروید متنباز (AOSP) در ابتدای ماه فوریه رفع شدهاند؛ اما با توجه به اینکه تمام سازندگان گوشیهای هوشمند مبتنی بر سیستم عامل اندروید، هرماه وصلههای امنیتی را برای گوشیهای خود منتشر نمیکنند، تعیین اینکه دستگاه شما این وصلهها را دریافت میکند یا نه، کمی دشوار است.
گرچه متخصصان گوگل هنوز هیچگونه جزئیات فنی برای آسیبپذیریهای جدید اندروید منتشر نکردهاند؛ اما مشخص است که بهروزرسانیها برای رفع آسیبپذیری سرریز بافر از نوع Heap Heap Buffer Overflow هستند که در بخش کد SkPngCodec و برخی اجزایی است که وظیفهی نمایش و رندر تصاویر را بر عهده دارند. در توصیههای گوگل اعلام شده که یکی از سه آسیبپذیری فوق که اهمیت بیشتری دارد، امکان اجرای کدهای مخرب قرار داده شده در پشت یک عکس PNG در نسخهی آسیبپذیر سیستم عامل اندرویدی را خواهد داشت.
گوگل در مورد یکی از آسیبپذیریها که به نفوذگر اجازه میدهد توسط یک فایل عکس PNG مخرب ، از راه دور دستوراتی را در سطح دسترسی بالا روی گوشی قربانی اجرا کند، حساسیت بیشتری بهخرج میدهد.
علاوه بر سه آسیبپذیری یادشده، مهندسان گوگل در مجموع ۴۲ آسیبپذیری را در سیستمعامل اندروید برطرف کردهاند که از بین آنها ۱۱ آسیبپذیری در سطح بحرانی، ۳۰ آسیبپذیری با درجهی اهمیت بالا و یک آسیبپذیری در سطح اهمیت متوسط هستند. طبق اعلام گوگل تاکنون هیچگونه سوءاستفادهای در سطح وسیع از این آسیبپذیریها را در سطح دنیا مشاهده نشده همچنین یک ماه پیش، به شرکای گوگل در رابطه با این آسیبپذیریها اطلاع داده شده است و ۴۸ ساعت بعد ، سورسکد وصلهی امنیتی برای آسیبپذیریها در AOSP منتشر شد.
