В понеделник Google заяви, че е открила критична уязвимост в сигурността на своята операционна система Android, което потенциално позволява на атакуващ да изпълни отдалечено код на устройство „без нужда от допълнителни привилегии за изпълнението му“. На проблема е присвоен идентификатор CVE-2023-40088. В близко бъдеще компанията ще пусне актуализация за сигурност, която трябва да реши този проблем.
Google не публикува подробности за уязвимостта, идентифицирана като CVE-2023-40088. Известно е, че принадлежи към категорията System и изглежда може да се използва за дистанционно изтегляне и инсталиране на устройство чрез Wi-Fi, Bluetooth или NFC зловреден софтуер без знанието на собственика на притурката.
Въпреки че тази уязвимост може да се използва дистанционно, заслужава да се отбележи, че атакуващият трябва да е относително близо до устройството на потенциалната жертва.
Google не каза как е открита уязвимостта или дали има случаи на нейната експлоатация от нападатели. Компанията ще пусне пачове за CVE-2023-40088 през следващите дни за Android 11, 12, 12L, 13 и най-новия Android 14 чрез проект Android Отворен код. След това производителите на устройства могат да разпространяват корекцията чрез своите канали за актуализиране. Актуализацията ще бъде изпратена до производителите на устройства през следващите няколко дни. След това всеки OEM на Android устройства ще трябва да изпрати корекция на своите потребители. телефони Google Pixel може да е първият, който ще получи корекцията, но сроковете може да варират за други марки.
В бележките към своя декемврийски бюлетин за сигурността Google също така каза, че е открила няколко други критични уязвимости в мобилната операционна система Android, които водят до повишаване на привилегиите и разкриване на информация, засягащи компоненти Android Рамка и система. Като се има предвид сериозността на проблемите, собствениците на устройства с Android се съветват да следят за декемврийските актуализации за сигурност и да ги инсталират веднага щом станат налични.
Прочетете също: