Google v pondelok oznámil, že objavil vo svojom operačnom systéme kritickú bezpečnostnú chybu Android, ktorá potenciálne umožňuje útočníkovi vzdialene spustiť kód na zariadení „bez potreby ďalších privilégií na jeho spustenie“. Problému bol priradený identifikátor CVE-2023-40088. V blízkej dobe spoločnosť vydá bezpečnostnú aktualizáciu, ktorá by mala tento problém vyriešiť.
Google nezverejňuje podrobnosti o zraniteľnosti označenej ako CVE-2023-40088. Je známe, že patrí do kategórie System a zdá sa, že sa dá použiť na vzdialené sťahovanie a inštaláciu do zariadenia cez Wi-Fi, Bluetooth alebo NFC škodlivý softvér bez vedomia vlastníka modulu gadget.
Aj keď je možné túto zraniteľnosť zneužiť na diaľku, stojí za zmienku, že útočník musí byť relatívne blízko zariadenia potenciálnej obete.
Google neuviedol, ako bola zraniteľnosť objavená, ani či existujú prípady jej zneužitia útočníkmi. Spoločnosť v najbližších dňoch vydá opravy pre CVE-2023-40088 pre Android 11, 12, 12L, 13 a najnovší Android 14 prostredníctvom projektu Android Open Source. Výrobcovia zariadení potom môžu distribuovať opravu prostredníctvom svojich aktualizačných kanálov. Aktualizácia bude výrobcom zariadení doručená v priebehu niekoľkých nasledujúcich dní. Potom bude musieť každý OEM zariadení so systémom Android poslať opravu svojim používateľom. Telefóny Google Pixel môže byť prvým, kto dostane opravu, ale termíny sa môžu líšiť pre iné značky.
V poznámkach k decembrovému bezpečnostnému bulletinu Google tiež uviedol, že objavil niekoľko ďalších kritických zraniteľností v operačnom systéme Android pre mobilné zariadenia, ktoré vedú k zvýšeniu oprávnení a zverejneniu informácií ovplyvňujúcich komponenty. Android Rámec a systém. Vzhľadom na závažnosť problémov sa majiteľom zariadení s Androidom odporúča, aby sledovali decembrové bezpečnostné aktualizácie a nainštalovali ich hneď, ako budú k dispozícii.
Prečítajte si tiež: