Uzņēmums Google pirmdien paziņoja, ka savā operētājsistēmā ir atklājis kritisku drošības ievainojamību Android, kas potenciāli ļauj uzbrucējam attālināti izpildīt kodu ierīcē "bez papildu privilēģijām tā izpildei". Problēmai ir piešķirts identifikators CVE-2023-40088. Tuvākajā nākotnē uzņēmums izlaidīs drošības atjauninājumu, kam vajadzētu novērst šo problēmu.
Uzņēmums Google neizpauž sīkāku informāciju par ievainojamību, kas identificēta kā CVE-2023-40088. Ir zināms, ka tas pieder kategorijai System, un šķiet, ka to var izmantot, lai attāli lejupielādētu un instalētu ierīcē, izmantojot Wi-Fi, Bluetooth vai NFC ļaunprātīga programmatūra bez sīkrīka īpašnieka ziņas.
Lai gan šo ievainojamību var izmantot attālināti, ir vērts atzīmēt, ka uzbrucējam ir jāatrodas salīdzinoši tuvu potenciālā upura ierīcei.
Google neatklāja, kā ievainojamība tika atklāta un vai ir gadījumi, kad uzbrucēji to izmantojuši. Uzņēmums tuvāko dienu laikā izlaidīs ielāpus CVE-2023-40088 operētājsistēmām Android 11, 12, 12L, 13 un jaunākajai Android 14 versijai, izmantojot projektu. Android Atvērtais avots. Pēc tam ierīču ražotāji var izplatīt ielāpu, izmantojot savus atjaunināšanas kanālus. Atjauninājums tiks nosūtīts ierīču ražotājiem tuvāko dienu laikā. Pēc tam katram Android ierīču OEM būs jānosūta ielāps saviem lietotājiem. Telefoni Google Pixel var būt pirmais, kas saņems labojumu, taču citiem zīmoliem laika grafiki var atšķirties.
Piezīmēs savam decembra drošības biļetenam Google arī paziņoja, ka ir atklājis vairākas citas kritiskas Android mobilās operētājsistēmas ievainojamības, kas izraisa privilēģiju paaugstināšanu un informācijas izpaušanu, kas ietekmē komponentus. Android Ietvars un sistēma. Ņemot vērā problēmu nopietnību, Android ierīču īpašniekiem ieteicams sekot līdzi decembra drošības atjauninājumiem un instalēt tos, tiklīdz tie kļūst pieejami.
Lasi arī: