Google виправляє численні уразливості в Android у серпневому оновленні безпеки

0
428 views
Google виправляє численні уразливості в Android у серпневому оновленні безпеки

Сьогодні компанія Google випустила оновлення безпеки Android, яке, як повідомляється, виправляє 46 уразливостей. Воно також включає в себе вразливість нульового дня.

Для тих, хто не знає, вразливість “нульового дня” – це вразливість у програмному, апаратному чи програмно-апаратному забезпеченні, яку зловмисники використовують до того, як виробник зможе її виявити та виправити. Термін “нульовий день” походить від кількості часу, який виробник має на підготовку виправлення, що дорівнює нулю днів, оскільки вразливість вже була виявлена або використана.

Ця конкретна уразливість нульового дня (яка є уразливістю типу use-after-free), позначена як CVE-2024-36971, як повідомляється, існує в ядрі Linux, що використовується системою Android для керування мережевою маршрутизацією. Незважаючи на те, що для використання цієї вразливості потрібні привілеї на виконання на системному рівні, компанія Google у своєму бюлетені з безпеки зазначила, що існують ознаки того, що ця вразливість нульового дня може бути об’єктом обмежених цільових атак.

Після того, як зловмисник успішно використає цю вразливість, він зможе виконувати довільний код на незапаткованих пристроях без участі користувача. Вразливість нульового дня виявив Клеман Лесіньє (Clément Lecigne), дослідник безпеки в Google, в Групі аналізу загроз (Threat Analysis Group, TAG).

Google не розголошує конкретні деталі вразливості, щоб дати користувачам телефонів Android достатньо часу для оновлення та ремонту своїх пристроїв.

Як згадувалося раніше, було виявлено ще 45 інших вразливостей. Для усунення всіх вразливостей Google випустила дві партії патчів в серпневому оновленні безпеки, які позначені як 2024-08-01 та 2024-08-05. Варто зазначити, що другий пакет виправлень включає виправлення для сторонніх компонентів з закритим вихідним кодом та компонентів ядра разом з усіма виправленнями з першого пакету. Тому користувачам рекомендується встановити патчі, як тільки вони стануть доступними. Хоча пристрої Google Pixel отримують оновлення швидко, іншим виробникам може знадобитися деякий час, щоб випустити оновлення для певних моделей.