Google ha solucionado una vulnerabilidad de seguridad crítica en un marco que puede activarse con una imagen PNG especialmente diseñada. La vulnerabilidad afecta a los dispositivos Android que van desde Android 7.0 a Android 9.0.

La vulnerabilidad asociada a el error PNG se puede rastrear como (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988). Un atacante remoto puede explotar este error con el contexto del usuario enviando una imagen atrapada o engañando al usuario para que haga clic en los enlaces maliciosos.

"El más grave de estos problemas es una vulnerabilidad de seguridad crítica en Framework que podría permitir que un atacante remoto que usa un archivo PNG especialmente diseñado ejecute código arbitrario en el contexto de un proceso privilegiado", lee el Boletín de seguridad de Android .

CVE-2019-1986 - Corregir errores no inicializados en SkPngCodec
CVE-2019-1987 - Arreglar el desbordamiento del búfer del montón
CVE-2019-1988 - Arreglar errores en la decodificación de archivos jpeg JCS_RGB

En total google ha parchado 42 vulnerabilidades, de ellos 11 son vulnerabilidades críticas, 30 son altas y 1 vulnerabilidad moderada.

“Los socios de Android son notificados de todos los problemas al menos un mes antes de la publicación. Los parches de código fuente para estos problemas se publicaron en el repositorio del Proyecto de código abierto de Android (AOSP) y se vincularon desde este boletín. Este boletín también incluye enlaces a parches fuera de AOSP ".

Fuente: https://gbhackers.com/attackers-compromise-android-png-image/