Критическая уязвимость в операционной системе Android позволяет злоумышленникам использовать специально подготовленные графические файлы в распространенном формате PNG для взлома мобильных устройств. Исправление этих багов может быть довольно проблематичным.

Google опубликовал бюллетень безопасности Android, в котором отдельно обозначил три критические уязвимости в компоненте Framework: CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988. Все три позволяют запускать произвольный код на конечном устройстве удаленно. Самая серьезная из них (неизвестно, правда, какая именно) позволяет взламывать устройство с помощью специально подготовленного PNG-файла, причем в контексте процесса с высокими привилегиями.

Все эти уязвимости затрагивают миллионы устройств, работающих под управлением версий Android 7.0-9.0. В базе данных CVE никакого содержательного описания этих уязвимостей нет, под перечисленными индексами стоят пустые зарезервированные страницы. Бюллетень безопасности Google также скуп на подробности.

Исходные коды для патчей опубликованы в репозитории Android Open Source Project. У Google пока нет данных о попытках эксплуатировать эти уязвимости злоумышленниками.