Google a anunțat astăzi că actualizările de securitate Android din decembrie 2023 abordează 85 de vulnerabilități, inclusiv o problemă critică de execuție a codului la distanță (RCE) fără clic, de o gravitate critică. Această vulnerabilitate, urmărită ca CVE-2023-40088, a fost descoperită în componenta de sistem a Android și nu necesită privilegii suplimentare pentru a fi exploatată.
Deși compania nu a dezvăluit încă dacă atacatorii au vizat această defecțiune de securitate în mediul online, aceștia ar putea să o exploateze pentru a obține execuția de cod arbitrar fără interacțiunea utilizatorului.
„Cea mai severă dintre aceste probleme este o vulnerabilitate critică de securitate în componenta Sistem care ar putea duce la execuția de cod la distanță (proximal/adiacentă) fără necesitatea de privilegii suplimentare de execuție. Interacțiunea utilizatorului nu este necesară pentru exploatare”, explică avizul.
Pe lângă aceasta, alte 84 de vulnerabilități de securitate au fost remediate în această lună, dintre care trei (CVE-2023-40077, CVE-2023-40076 și CVE-2023-45866) sunt probleme critice de escaladare a privilegiilor și divulgare de informații în componentele Android Framework și System. O a patra vulnerabilitate critică (CVE-2022-40507) a fost adresată în componentele cu sursă închisă ale Qualcomm.
Google Anunță o Actualizare foarte Importantă pentru Android
De asemenea, în urmă cu două luni, în octombrie, Google a remediat două defecțiuni de securitate (CVE-2023-4863 și CVE-2023-4211) care au fost exploatate ca zero-day, prima în biblioteca open-source libwebp și cea de-a doua afectând mai multe versiuni ale driverului GPU Arm Mali utilizate într-o gamă largă de modele de dispozitive Android.
Actualizările de securitate Android din septembrie au abordat o altă vulnerabilitate zero-day activ exploatată (CVE-2023-35674) în componenta Android Framework care a permis atacatorilor să escaladeze privilegiile fără a necesita privilegii suplimentare de execuție sau interacțiunea utilizatorului.
Ca de obicei, Google a lansat două seturi de corecții cu actualizările de securitate din decembrie, identificate ca nivelurile de securitate 2023-12-01 și 2023-12-05. Ultimul include toate corecțiile din primul set și corecții suplimentare pentru componente terțe cu sursă închisă și Kernel. De remarcat este faptul că aceste alte corecții s-ar putea să nu fie necesare pentru toate dispozitivele Android.
Producătorii de dispozitive pot prioritiza implementarea nivelului inițial de corecții pentru a simplifica procedura de actualizare, deși acest lucru nu sugerează implicit un risc crescut de exploatare potențială.
Este important de menționat că, cu excepția dispozitivelor Google Pixel, care primesc actualizări de securitate lunare imediat după lansare, alți producători vor avea nevoie de ceva timp înainte de a lansa corecțiile. Această întârziere este necesară pentru testarea suplimentară a corecțiilor de securitate pentru a asigura că nu există incompatibilități cu diversele configurații hardware.
