Google у понеділок повідомила, що виявила критичну вразливість безпеки в операційній системі Android, яка потенційно дає змогу зловмиснику віддалено виконувати код на пристрої, “без необхідності в наявності додаткових привілеїв для його виконання”. Проблемі було присвоєно ідентифікатор CVE-2023-40088. Найближчим часом компанія випустить оновлення безпеки, яке має виправити цю проблему.
Google не розкриває подробиць про уразливість з ідентифікатором CVE-2023-40088. Відомо, що вона належить до категорії System і, схоже, може бути використана для віддаленого завантаження та встановлення на пристрій через Wi-Fi, Bluetooth або NFC шкідливого ПЗ без відома власника гаджета.
Хоча зазначеною вразливістю можна скористатися віддалено, варто зазначити, що зловмиснику необхідно перебувати відносно близько до пристрою потенційної жертви.
Google не повідомила, як було виявлено вразливість, і чи є випадки її експлуатації зловмисниками. Компанія протягом найближчих днів випустить виправлення, що усувають уразливість CVE-2023-40088 для версій Andrоid 11, 12, 12L, 13 і останньої версії Andrоid 14 через проєкт Android Open Source. Після цього виробники пристроїв можуть поширити патч через свої канали оновлень. Оновлення буде розіслано виробникам пристроїв протягом наступних кількох днів. Після цього кожен OEM-виробник Andrоid-пристроїв повинен буде вислати виправлення для своїх користувачів. Телефони Google Pixel можуть бути першими, хто отримає виправлення, але для інших брендів терміни можуть відрізнятися.
У примітках до грудневого бюлетеня безпеки Google також повідомила, що виявила кілька інших критичних вразливостей у мобільній операційній системі Andrоid, які призводять до підвищення прав і розкриття інформації, зачіпаючи компоненти Android Framework і System. З огляду на серйозність проблем, власникам пристроїв на базі Andrоid рекомендується уважніше стежити за грудневими оновленнями безпеки і встановити їх, щойно вони стануть доступними.
Читайте також: