Spoločnosť Google vydala v decembri balík opráv 85 zraniteľností vo svojom systéme Android a jeho komponentoch. Z nich sú 4 označené ako kritické. Jedna z nich je aktívne zneužívaná a umožňuje vykonávanie ľubovoľného kódu. Útočník pre jej zneužitie nepotrebuje žiadne dodatočné oprávnenia, ani interakciu obete.

Zraniteľné systémy:

Google Android v. 11, 12, 12L, 13, 14

Opis činnosti:

Zraniteľnosti s eskaláciou privilégií sa zvyčajne neoznačujú ako kritické, spoločnosť Google výnimočne označila zraniteľnosť CVE-2023-45866 ako kritickú.

CVE-2023-40088

Zero-click zraniteľnosť CVE-2023-40088 vo funkcii callback_thread_event komponentu com_android_bluetooth_btservice_AdapterService.cpp umožňuje ľubovoľné vykonávanie kódu. Chyba umožňuje použiť dealokované miesto v pamäti, čo môže viesť k poškodeniu pamäte. Zraniteľnosť je aktívne zneužívaná.

CVE-2023-40076

Kritická zraniteľnosť CVE-2023-40076 Frameworku ovplyvňuje funkciu createPendingetent a môže viesť k úniku informácií. Úspešné zneužitie umožňuje obísť bezpečnostné prvky a získať prihlasovacie údaje používateľov.

CVE-2023-45866

Zraniteľnosť CVE-2023-45866 sa nachádza v komponente SYSTEM a umožňuje eskaláciu privilégií.

CVE-2022-40507

Zraniteľnosť CVE-2022-40507 sa nachádza v komponente jadra Qualcomm a týka sa dvojitého uvoľnenia v pamäti.

Útočník pre zneužitie týchto zraniteľností nepotrebuje žiadne dodatočné oprávnenia, ani interakciu obete.  

Kompletný prehľad opravených zraniteľností si môžete pozrieť tu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vykonávanie ľubovoľného kódu
  • Eskalácia privilégií
  • Únik informácií

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu.

Odkazy:

https://source.android.com/docs/security/bulletin/2023-12-01

https://www.bleepingcomputer.com/news/security/december-android-updates-fix-critical-zero-click-rce-flaw/

https://www.csa.gov.sg/alerts-advisories/alerts/2023/al-2023-154

https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2023-bulletin.html

https://nvd.nist.gov/vuln/detail/CVE-2023-40088

https://vuldb.com/?id.246910

https://vuldb.com/?id.246892

Zdroj: csirt.gov.sk