Android, Kasım ayında Android 11, 12 ve 13 için yeni bir güvenlik açıkları listesi yayınladı. Bir kritik boşluğa ek olarak, 14 adet son derece tehlikeli açık daha var. Güvenlik bülteni, mobil cihazda Arm, MediaTek veya Qualcomm bileşenlerinin yüklü olup olmamasına bağlı olarak ek güvenlik açıklarına karşı uyarıda bulunuyor.
Google'ın Kasım 2023 güvenlik bülteni endişe verici derecede uzun. Ancak burada listelenen güvenlik açıkları, Android 11, 12 veya 13 kullanıyor olsa bile her Android cihaz için geçerli değildir. Ancak genel olarak geçerli olan güvenlik açıkları arasında bile yalnızca bir kritik boşluk değil, aynı zamanda 14 adet son derece tehlikeli boşluk da var.
Google'a göre kritik güvenlik açığı CVE-2023-40113, sistemi etkilediği için özellikle tehdit edicidir. Saldırgan, saldırısı için herhangi bir ek yürütme hakkına ihtiyaç duymamalı ve bu nedenle gerçekten güvence altına alınan verilere erişebilmelidir. Diğer 14 son derece tehlikeli boşluk, hakların genişletilmesine veya çerçevedeki bilgilerin ifşa edilmesine olanak sağlayabilir.
Arm, MediaTek veya Qualcomm bileşenlerinden kaynaklanan ek güvenlik açıkları
Kasım 2023 güvenlik bülteni, bir Android cihazda Arm, MediaTek veya Qualcomm bileşenlerinin yüklü olması durumunda ortaya çıkabilecek diğer güvenlik açıklarını listeliyor. Bunlar için 2023-11-05 yama düzeyi geçerlidir ve bu genellikle cihaz üreticilerinin güvenlik yamaları aracılığıyla ele geçirilir. Arm'da bu oldukça tehlikeli bir boşluktur, MediaTek'te ise altıdır.
Qualcomm'da 15 güvenlik açığı bulunuyor ve bunların 4'ü kapalı kaynak bileşenleri alanında kritik kabul ediliyor: CVE-2023-21671, CVE-2023-22388, CVE-2023-28574, CVE-2023-33045. Kritik güvenlik açıklarının başarılı bir şekilde kullanılması, ayrıcalık yükseltmeyi mümkün kılabilir. Saldırgan, istismar edilen bileşenle ilişkili ayrıcalıklara bağlı olarak programları yükleyebilir, verileri görüntüleyebilir, değiştirebilir, silebilir ve hatta tüm haklara sahip yeni bir hesap oluşturabilir.
Android.com'da daha fazlası