Η
Google
κυκλοφόρησε τις ενημερώσεις ασφαλείας του Οκτωβρίου 2023 για το Android, αντιμετωπίζοντας 54 μοναδικά τρωτά σημεία, συμπεριλαμβανομένων δύο που είναι γνωστό ότι υφίστανται ενεργή εκμετάλλευση.
Τα δύο ελαττώματα που χρησιμοποιήθηκαν είναι τα CVE-2023-4863 και CVE-2023-4211, για τα οποία η Google έχει “ενδείξεις ότι ενδέχεται να υπόκεινται σε περιορισμένη, στοχευμένη εκμετάλλευση.
Το CVE-2023-4863 είναι μια ευπάθεια υπερχείλισης buffer στην πανταχού παρούσα βιβλιοθήκη ανοιχτού κώδικα libwebp, η οποία επηρεάζει πολλά προϊόντα λογισμικού, συμπεριλαμβανομένων των Chrome, Firefox,
iOS
,
Ομάδες της Microsoft
και πολλά άλλα.
Στο συγκεκριμένο ελάττωμα αρχικά εκχωρήθηκαν λανθασμένα ξεχωριστά CVE για το Apple iOS και το Google Chrome, αν και στην πραγματικότητα βρισκόταν στην υποκείμενη βιβλιοθήκη. Μια
επα
κόλουθη προσπάθεια να το
διορθώσετε
εκχωρώντας ένα νέο CVE (CVE-2023-5129)
απορρίφθηκε
.
Το CVE-2023-4211 είναι ένα ελάττωμα που χρησιμοποιείται ενεργά και επηρεάζει πολλαπλές εκδόσεις προγραμμάτων οδήγησης GPU Arm Mali που χρησιμοποιούνται σε ένα ευρύ φάσμα μοντέλων συσκευών Android.
Αυτό το ελάττωμα είναι ένα ζήτημα μνήμης που δεν χρησιμοποιείται μετά τη χρήση που θα μπορούσε να επιτρέψει στους εισβολείς να έχουν τοπική πρόσβαση ή να χειριστούν ευαίσθητα δεδομένα.
Συνοπτικά, το
Ενημέρωση Android Οκτωβρίου 2023
φέρνει:
- 13 διορθώσεις στο Android Framework
- 12 διορθώσεις σε στοιχεία συστήματος
- Δύο ενημερώσεις στο Google Play
- Πέντε διορθώσεις σε εξαρτήματα βραχίονα
-
Τρεις επιδιορθώσεις σχετικά με τα
τσιπ
MediaTek - Μια επιδιόρθωση σχετικά με τα τσιπ Unisoc
- 18 επιδιορθώσεις σε στοιχεία της Qualcomm (15 για κλειστού κώδικα)
Από τις 54 επιδιορθώσεις που αφορούν το Android 11 έως το 13, οι πέντε αξιολογούνται ως κρίσιμες και δύο αφορούν προβλήματα απομακρυσμένης εκτέλεσης κώδικα.
Αυτή η ενημέρωση ακολουθεί το τυπικό σύστημα έκδοσης δύο επιπέδων ενημέρωσης κώδικα: το πρώτο (2023-10-01) εστιάζει σε βασικά στοιχεία Android (Framework + System), ενώ το δεύτερο (2023-10-06) αναφέρεται στον πυρήνα και τα στοιχεία κλειστού κώδικα .
Αυτή η προσέγγιση επιτρέπει στους κατασκευαστές συσκευών να εφαρμόζουν επιλεκτικά ενημερώσεις σχετικές με τα μοντέλα υλικού τους, καθιστώντας τις έτσι διαθέσιμες πιο γρήγορα.
Οι παραλήπτες του πρώτου επιπέδου ενημέρωσης κώδικα θα λάβουν τις βασικές ενημερώσεις Android του τρέχοντος μήνα, καθώς και τις ενημερώσεις και από τα δύο επίπεδα του προηγούμενου μήνα, σε αυτήν την περίπτωση, τον Σεπτέμβριο του 2023.
Όσοι βλέπουν το δεύτερο επίπεδο διαδρομής στην οθόνη ενημέρωσης θα λάβουν όλες τις ενημερώσεις που αναφέρονται στο ενημερωτικό δελτίο αυτού του μήνα.
Οι εκδόσεις Android 10 και παλαιότερες δεν υποστηρίζονται πλέον, ωστόσο, ανάλογα με το εύρος ορισμένων ευπαθειών που επιδιορθώθηκαν πρόσφατα, ενδέχεται επίσης να επηρεαστούν.
Τούτου λεχθέντος, συνιστάται στους χρήστες παλαιότερων συστημάτων Android να αναβαθμίσουν σε νεότερο μοντέλο ή να αναβοσβήσουν τη συσκευή τους με μια διανομή Android τρίτου κατασκευαστή που προσφέρει ενημερώσεις ασφαλείας για τα μοντέλα τους.
