У листопаді Android опублікував новий список уразливостей безпеки для Android 11, 12 і 13. Крім однієї критичної прогалини, є ще 14 дуже небезпечних прогалин. Бюлетень безпеки попереджає про додаткові вразливості, залежно від того, чи встановлені на мобільному пристрої компоненти Arm, MediaTek або Qualcomm.
Бюлетень безпеки Google за листопад 2023 року тривожно довгий. Однак перелічені там уразливості безпеки не стосуються кожного пристрою Android, навіть якщо він використовує Android 11, 12 або 13. Але навіть серед загальноприйнятих уразливостей є не лише одна критична прогалина, а й 14 дуже небезпечних прогалин.
За словами Google, критична вразливість CVE-2023-40113 є особливо загрозливою, оскільки вона впливає на систему. Зловмиснику не повинні потрібні додаткові права на виконання для його атаки, тому він повинен мати доступ до фактично захищених даних. Інші 14 дуже небезпечних прогалин можуть дозволити розширення прав або розкриття інформації в рамках.
Додаткові вразливості через компоненти Arm, MediaTek або Qualcomm
У бюлетені безпеки за листопад 2023 року перераховано додаткові вразливості, якщо на пристрої Android встановлено компоненти Arm, MediaTek або Qualcomm. До них застосовується рівень виправлення 2023-11-05, який зазвичай перехоплюється через патчі безпеки виробників пристроїв. У Arm це дуже небезпечний розрив, у MediaTek – шість.
У Qualcomm є 15 уразливостей, 4 з яких вважаються критичними в області компонентів із закритим кодом: CVE-2023-21671, CVE-2023-22388, CVE-2023-28574, CVE-2023-33045. Успішне використання критичних уразливостей може призвести до ескалації привілеїв. Залежно від привілеїв, пов’язаних із використовуваним компонентом, зловмисник міг потім інсталювати програми, переглядати, змінювати, видаляти дані або навіть створювати новий обліковий запис із повними правами.
Більше на Android.com