O Android lançou uma nova lista de vulnerabilidades de segurança para Android 11, 12 e 13 em novembro. Além de uma lacuna crítica, existem também outras 14 lacunas altamente perigosas. O boletim de segurança alerta sobre vulnerabilidades adicionais, dependendo se componentes Arm, MediaTek ou Qualcomm estão instalados no dispositivo móvel.
O boletim de segurança do Google de novembro de 2023 é preocupantemente longo. No entanto, as vulnerabilidades de segurança listadas não se aplicam a todos os dispositivos Android, mesmo que usem Android 11, 12 ou 13. Mas mesmo entre as vulnerabilidades geralmente válidas não existe apenas uma lacuna crítica, mas também 14 lacunas altamente perigosas.
Segundo o Google, a vulnerabilidade crítica CVE-2023-40113 é particularmente ameaçadora porque afeta o sistema. Um invasor não deverá precisar de quaisquer direitos de execução adicionais para seu ataque e deverá, portanto, ser capaz de acessar dados que estejam realmente protegidos. As outras 14 lacunas altamente perigosas poderiam permitir uma expansão dos direitos ou a divulgação de informações no quadro.
Vulnerabilidades adicionais devido a componentes Arm, MediaTek ou Qualcomm
O boletim de segurança de novembro de 2023 lista outras vulnerabilidades se componentes Arm, MediaTek ou Qualcomm estiverem instalados em um dispositivo Android. O nível de patch 2023-11-05 se aplica a eles, que geralmente é interceptado por meio dos patches de segurança dos fabricantes de dispositivos. Na Arm esta é uma lacuna altamente perigosa, na MediaTek é seis.
Existem 15 vulnerabilidades na Qualcomm, sendo 4 consideradas críticas na área de componentes de código fechado: CVE-2023-21671, CVE-2023-22388, CVE-2023-28574, CVE-2023-33045. A exploração bem-sucedida de vulnerabilidades críticas pode permitir o escalonamento de privilégios. Dependendo dos privilégios associados ao componente explorado, um invasor poderá instalar programas, visualizar, alterar, excluir dados ou até mesmo criar uma nova conta com todos os direitos.
Mais em Android.com