Spoločnosť Google vydala v decembri balík opráv 85 zraniteľností vo svojom systéme Android a jeho komponentoch. Z nich sú 4 označené ako kritické. Jedna z nich je aktívne zneužívaná a umožňuje vykonávanie ľubovoľného kódu. Útočník pre jej zneužitie nepotrebuje žiadne dodatočné oprávnenia, ani interakciu obete.
Zraniteľné systémy:
Google Android v. 11, 12, 12L, 13, 14
Opis činnosti:
Zraniteľnosti s eskaláciou privilégií sa zvyčajne neoznačujú ako kritické, spoločnosť Google výnimočne označila zraniteľnosť CVE-2023-45866 ako kritickú.
CVE-2023-40088
Zero-click zraniteľnosť CVE-2023-40088 vo funkcii callback_thread_event komponentu com_android_bluetooth_btservice_AdapterService.cpp umožňuje ľubovoľné vykonávanie kódu. Chyba umožňuje použiť dealokované miesto v pamäti, čo môže viesť k poškodeniu pamäte. Zraniteľnosť je aktívne zneužívaná.
CVE-2023-40076
Kritická zraniteľnosť CVE-2023-40076 Frameworku ovplyvňuje funkciu createPendingetent a môže viesť k úniku informácií. Úspešné zneužitie umožňuje obísť bezpečnostné prvky a získať prihlasovacie údaje používateľov.
CVE-2023-45866
Zraniteľnosť CVE-2023-45866 sa nachádza v komponente SYSTEM a umožňuje eskaláciu privilégií.
CVE-2022-40507
Zraniteľnosť CVE-2022-40507 sa nachádza v komponente jadra Qualcomm a týka sa dvojitého uvoľnenia v pamäti.
Útočník pre zneužitie týchto zraniteľností nepotrebuje žiadne dodatočné oprávnenia, ani interakciu obete.
Kompletný prehľad opravených zraniteľností si môžete pozrieť tu.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vykonávanie ľubovoľného kódu
- Eskalácia privilégií
- Únik informácií
Odporúčania:
Bezodkladná aktualizácia na najnovšiu verziu.
Odkazy:
https://source.android.com/docs/security/bulletin/2023-12-01
https://www.csa.gov.sg/alerts-advisories/alerts/2023/al-2023-154
https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2023-bulletin.html
https://nvd.nist.gov/vuln/detail/CVE-2023-40088
Zdroj: csirt.gov.sk
