Οι ενημερώσεις Android του Σεπτεμβρίου διορθώνουν τη μηδενική ημέρα εκμετάλλευσης σε επιθέσεις
Οι ενημερώσεις ασφαλείας Android του Σεπτεμβρίου 2023 αντιμετωπίζουν 33 τρωτά σημεία, συμπεριλαμβανομένου ενός σφάλματος
zero-day
που στοχεύει επί του παρόντος στην άγρια φύση.
Αυτή η ευπάθεια μηδενικής ημέρας υψηλής σοβαρότητας (
CVE-2023-35674
) είναι ένα ελάττωμα στο πλαίσιο Android που επιτρέπει στους εισβολείς να κλιμακώνουν τα προνόμια χωρίς να απαιτούν αλληλεπίδραση με τον χρήστη ή πρόσθετα δικαιώματα εκτέλεσης.
“Υπάρχουν ενδείξεις ότι το CVE-2023-35674 ενδέχεται να υπόκειται σε περιορισμένη, στοχευμένη εκμετάλλευση,” Google
είπε
σε γνωμοδότηση που εκδόθηκε την Τρίτη.
“Η εκμετάλλευση για πολλά ζητήματα στο Android γίνεται πιο δύσκολη από τις βελτιώσεις σε νεότερες εκδόσεις της
πλατφόρμα
ς Android. Ενθαρρύνουμε όλους τους χρήστες να ενημερώσουν στην πιο πρόσφατη έκδοση του Android όπου είναι δυνατόν.”
Εκτός από αυτό το σφάλμα zero-day που χρησιμοποιήθηκε ενεργά, οι ενημερώσεις ασφαλείας Android του Σεπτεμβρίου αντιμετωπίζουν επίσης τρία σημαντικά ελαττώματα ασφαλείας στο στοιχείο του συστήματος Android και ένα σε στοιχεία κλειστού κώδικα της
Qualcomm
.
Τα τρία κρίσιμα σφάλματα συστήματος (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) μπορούν να οδηγήσουν σε απομακρυσμένη εκτέλεση κώδικα (RCE) μετά από επιτυχή εκμετάλλευση χωρίς να απαιτούνται πρόσθετα δικαιώματα εκτέλεσης ή αλληλεπίδραση με τον χρήστη.
Οι εισβολείς μπορούν να αξιοποιήσουν αυτά τα τρωτά σημεία σε επιθέσεις RCE όταν απενεργοποιούνται μετριασμούς πλατφόρμας και υπηρεσιών για σκοπούς ανάπτυξης ή παρακάμπτονται επιτυχώς.
Το τέταρτο κρίσιμο σφάλμα (που παρακολουθείται ως CVE-2023-28581) είναι
περιγράφεται
από την Qualcomm ως πρόβλημα καταστροφής της μνήμης υλικολογισμικού WLAN που θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα, να διαβάζουν ευαίσθητες πληροφορίες ή να προκαλούν σφάλματα συστήματος σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν προνόμια ή αλληλεπίδραση με τον χρήστη.
Δύο επίπεδα
ενημέρωση
ς κώδικα ασφαλείας
Ως συνήθως, η Google εξέδωσε δύο σετ ενημερώσεων κώδικα για τον Σεπτέμβριο του 2023, με ετικέτα τα επίπεδα ενημέρωσης κώδικα ασφαλείας 2023-09-01 και 2023-09-05.
Το τελευταίο επίπεδο ενημέρωσης κώδικα περιλαμβάνει όλες τις ενημερώσεις κώδικα ασφαλείας στο αρχικό σύνολο και πρόσθετες ενημερώσεις κώδικα για στοιχεία κλειστού κώδικα και πυρήνα τρίτου κατασκευαστή που ενδέχεται να μην σχετίζονται με όλες τις
συσκευές
Android.
Ο προμηθευτής της συσκευής σας μπορεί να επιλέξει να δώσει προτεραιότητα στην ανάπτυξη του αρχικού επιπέδου ενημέρωσης κώδικα για να επισπεύσει τη διαδικασία ενημέρωσης, με αυτήν την επιλογή να μην συνεπάγεται απαραίτητα αυξημένο κίνδυνο εκμετάλλευσης.
Αξίζει επίσης να αναφέρουμε ότι, εκτός από τις συσκευές Google Pixel, οι οποίες λαμβάνουν αμέσως τις ενημερώσεις ασφαλείας κάθε μήνα, άλλοι προμηθευτές θα χρειαστούν λίγο χρόνο για να τις προωθήσουν στις συσκευές τους, καθώς χρειάζονται χρόνο για να δοκιμάσουν και να ρυθμίσουν τις ενημερώσεις κώδικα για κάθε διαμόρφωση υλικού.
Οι ενημερώσεις ασφαλείας Android για αυτόν τον μήνα στοχεύουν τις εκδόσεις 11, 12 και 13 και ενδέχεται επίσης να επηρεάσουν παλαιότερες, μη υποστηριζόμενες εκδόσεις λειτουργικού συστήματος.
Όσοι χρησιμοποιούν Android 10 και παλαιότερες εκδόσεις θα πρέπει να εξετάσουν το ενδεχόμενο αναβάθμισης σε συσκευές που εκτελούν μια υποστηριζόμενη έκδοση ή να κάνουν flash την τρέχουσα χρησιμοποιώντας ROM Android τρίτου κατασκευαστή που βασίζεται σε μια πρόσφατη έκδοση AOSP.