Google meddelte i dag, at Android-sikkerhedsopdateringerne fra december 2023 adresserer 85 sårbarheder, herunder et kritisk, ikke-klikbar fjernudførelse af kode (RCE) problem af kritisk sværhedsgrad. Denne sårbarhed, sporet som CVE-2023-40088, blev opdaget i systemkomponenten af Android og kræver ikke yderligere privilegier for at udnytte.
Selvom virksomheden endnu ikke har afsløret, om angribere har målrettet denne sikkerhedsbrist i onlinemiljøet, kunne de udnytte det til at opnå vilkårlig kodeudførelse uden brugerinteraktion.
"Det mest alvorlige af disse problemer er en kritisk sikkerhedssårbarhed i systemkomponenten, der kan føre til ekstern (proksimal/tilstødende) kodekørsel uden behov for yderligere udførelsesrettigheder. Brugerinteraktion er ikke påkrævet for udnyttelse,” forklarer meddelelsen.
Derudover blev 84 andre sikkerhedssårbarheder rettet i denne måned, hvoraf tre (CVE-2023-40077, CVE-2023-40076 og CVE-2023-45866) er kritiske privilegieeskaleringer og problemer med afsløring af oplysninger i Android Framework og systemkomponenter . En fjerde kritisk sårbarhed (CVE-2022-40507) blev rettet i Qualcomms lukkede kildekomponenter.
Google annoncerer en meget vigtig opdatering til Android
For to måneder siden i oktober rettede Google også to sikkerhedsfejl (CVE-2023-4863 og CVE-2023-4211), der blev udnyttet som nul-dage, den første i libwebp open source-biblioteket og den anden, der påvirker flere versioner af Arm Mali GPU-driveren, der bruges i en lang række Android-enhedsmodeller.
Android-sikkerhedsopdateringerne fra september adresserede en anden aktivt udnyttet nul-dages sårbarhed (CVE-2023-35674) i Android Framework-komponenten, der tillod angribere at eskalere privilegier uden at kræve yderligere udførelsesprivilegier eller brugerinteraktion.
Som sædvanlig udgav Google to sæt patches med sikkerhedsopdateringerne fra december, identificeret som sikkerhedsniveauerne 2023-12-01 og 2023-12-05. Sidstnævnte inkluderer alle rettelser fra det første sæt og yderligere rettelser til tredjeparts lukkede kildekomponenter og kernen. Det er værd at bemærke, at disse andre rettelser muligvis ikke er nødvendige for alle Android-enheder.
Enhedsproducenter kan prioritere implementeringen af det indledende niveau af patches for at forenkle opdateringsproceduren, selvom dette ikke nødvendigvis indebærer en øget risiko for potentiel udnyttelse.
Det er vigtigt at bemærke, at med undtagelse af Google Pixel-enheder, som modtager månedlige sikkerhedsopdateringer umiddelbart efter udgivelsen, skal andre producenter bruge lidt tid, før de frigiver patches. Denne forsinkelse er nødvendig for yderligere test af sikkerhedsrettelser for at sikre, at der ikke er inkompatibilitet med forskellige hardwarekonfigurationer.
