Οι ενημερώσεις Android του Δεκεμβρίου επιδιορθώνουν το κρίσιμο ελάττωμα RCE μηδενικού κλικ

By

Marizas Dimitris

On

Δεκ 4, 2023

Η Google ανακοίνωσε σήμερα ότι οι ενημερώσεις ασφαλείας Android του Δεκεμβρίου

2023

αντιμετωπίζουν 85 ευπάθειες, συμπεριλαμβανομένου ενός κρίσιμου σφάλματος μηδενικού κλικ απομακρυσμένης εκτέλεσης κώδικα (RCE).

Παρακολούθηση ως CVE-2023-40088, το σφάλμα RCE με μηδέν κλικ βρέθηκε στο στοιχείο System του Android και δεν απαιτεί πρόσθετα προνόμια για εκμετάλλευση.

Ενώ η εταιρεία δεν έχει ακόμη αποκαλύψει εάν οι εισβολείς έχουν στοχεύσει αυτό το ελάττωμα ασφαλείας στη φύση, οι φορείς απειλών θα μπορούσαν να το εκμεταλλευτούν για να αποκτήσουν αυθαίρετη εκτέλεση κώδικα χωρίς αλληλεπίδραση με τον χρήστη.

“Το πιο σοβαρό από αυτά τα ζητήματα είναι μια κρίσιμη ευπάθεια ασφαλείας στο στοιχείο του συστήματος που θα μπορούσε να οδηγήσει σε απομακρυσμένη (εγγύς/γειτονική) εκτέλεση κώδικα χωρίς να απαιτούνται πρόσθετα δικαιώματα εκτέλεσης. Δεν απαιτείται αλληλεπίδραση με τον χρήστη για εκμετάλλευση”, η συμβουλευτική

εξηγεί

.

“Ο

αξιολόγηση της σοβαρότητας

βασίζεται στην επίδραση που θα είχε ενδεχομένως η εκμετάλλευση της ευπάθειας σε μια επηρεαζόμενη συσκευή, υποθέτοντας ότι η πλατφόρμα και οι μετριασμούς της υπηρεσίας είναι απενεργοποιημένες για σκοπούς ανάπτυξης ή εάν παρακαμφθούν επιτυχώς.”

Επιπλέον 84 ευπάθειες ασφαλείας επιδιορθώθηκαν αυτόν τον μήνα, με τρία από αυτά (CVE-2023-40077, CVE-2023-40076 και CVE-2023-45866) κρίσιμα σφάλματα κλιμάκωσης προνομίων σοβαρότητας και αποκάλυψης πληροφοριών στο Android Framework και στοιχεία συστήματος.

Ένα τέταρτο κρίσιμο θέμα ευπάθειας (CVE-2022-40507) αντιμετωπίστηκε στα στοιχεία κλειστού κώδικα της Qualcomm.

Android zero-days που αξιοποιούνται σε επιθέσεις

Πριν από δύο μήνες, τον Οκτώβριο, η Google διορθώθηκε επίσης δύο ελαττώματα ασφαλείας (CVE-2023-4863 και CVE-2023-4211) που χρησιμοποιήθηκαν ως zero-days, το πρώτο στη βιβλιοθήκη ανοιχτού κώδικα libwebp και το δεύτερο επηρεάζει πολλαπλά Arm Mali Εκδόσεις προγραμμάτων οδήγησης GPU που χρησιμοποιούνται σε ένα ευρύ φάσμα μοντέλων συσκευών Android.

Οι ενημερώσεις ασφαλείας Android του Σεπτεμβρίου αφορούσαν μια άλλη ενεργά εκμετάλλευση

zero-day

(CVE-2023-35674) στο στοιχείο Android Framework που επέτρεπε στους εισβολείς να κλιμακώσουν τα δικαιώματα χωρίς να απαιτούν πρόσθετα δικαιώματα εκτέλεσης ή αλληλεπίδραση με τον χρήστη.

Ως συνήθως, η Google κυκλοφόρησε δύο σετ ενημερώσεων κώδικα με τον μήνα ενημερώσεων ασφαλείας του Δεκεμβρίου, που προσδιορίζονται ως τα επίπεδα ασφαλείας 2023-12-01 και 2023-12-05. Το τελευταίο περιλαμβάνει όλες τις επιδιορθώσεις από το πρώτο σετ και πρόσθετες ενημερώσεις κώδικα για στοιχεία κλειστού κώδικα και πυρήνα τρίτου κατασκευαστή. Σημειωτέον, αυτές οι άλλες ενημερώσεις κώδικα μπορεί να μην χρειάζονται από όλες τις συσκευές Android.

Οι προμηθευτές συσκευών ενδέχεται να δώσουν προτεραιότητα στην ανάπτυξη του αρχικού επιπέδου

ενημέρωση

ς κώδικα για να βελτιστοποιήσουν τη διαδικασία ενημέρωσης, αν και αυτό δεν υποδηλώνει εγγενώς αυξημένο κίνδυνο πιθανής εκμετάλλευσης.

Είναι επίσης σημαντικό να σημειωθεί ότι, εκτός από τις συσκευές Google

Pixel

, οι οποίες λαμβάνουν μηνιαίες ενημερώσεις ασφαλείας αμέσως μετά την κυκλοφορία, άλλοι κατασκευαστές θα χρειαστούν λίγο χρόνο για να διαθέσουν τις ενημερώσεις κώδικα. Αυτή η καθυστέρηση απαιτείται για πρόσθετες δοκιμές των ενημερώσεων κώδικα ασφαλείας για να διασφαλιστεί ότι δεν υπάρχουν ασυμβατότητες με διάφορες διαμορφώσεις υλικού.