Новости Cрочно обновите Android: исправлена Zero Click уязвимость CVE-2023-40088

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Это самая опасная из 85 проблем, которые Google пытается исправить в декабрьском обновлении безопасности.


wxj4qh3oozvbf8yq4v8i8bzi4bkemmng.jpg


Google выпустила Для просмотра ссылки Войди или Зарегистрируйся , которые устраняют 85 уязвимостей, включая критическую Zero-Click уязвимость удаленного выполнения кода (Remote Code Execution, RCE ).

Zero-Click ошибка, отслеживаемая как Для просмотра ссылки Войди или Зарегистрируйся , была обнаружена в системном компоненте Android и не требует дополнительных привилегий для использования. Хотя компания еще не сообщила, воспользовались ли злоумышленники уязвимостью, они могут использовать недостаток для выполнения произвольного кода без взаимодействия с пользователем.

В декабре также были исправлены еще 84 уязвимости безопасности, три из которых (CVE-2023-40077, CVE-2023-40076 и CVE-2023-45866) связаны с критическими ошибками повышения привилегий и раскрытия информации в компонентах Android Framework и системы. Четвертая критическая уязвимость ( Для просмотра ссылки Войди или Зарегистрируйся CVSS: 7.8) была устранена в компонентах Qualcomm с закрытым исходным кодом.

Как обычно, Google выпустила два набора исправлений в декабрьском обновлении безопасности, обозначенных как уровни безопасности 2023-12-01 и 2023-12-05. Последний включает в себя все исправления из первого набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и компонентов ядра. Примечательно, что другие исправления могут потребоваться не всем устройствам Android.

Поставщики устройств могут отдать приоритет развертыванию начального уровня исправлений, чтобы упростить процедуру обновления, хотя это по своей сути не предполагает повышенного риска потенциальной эксплуатации.

Также важно отметить, что, за исключением устройств Google Pixel, которые получают ежемесячные обновления безопасности сразу после выпуска, другим производителям потребуется некоторое время перед выпуском исправлений. Такая задержка необходима для дополнительного тестирования исправлений безопасности, чтобы убедиться в отсутствии несовместимости с различными конфигурациями оборудования.
 
Источник новости
www.securitylab.ru

Похожие темы