Android drošības biļetens tikko atjaunināts ar decembra izlaišanas piezīmēm. Šis resurss ir lieliski piemērots, lai uzzinātu par dažādām problēmām, kas skar Android ierīces, neatkarīgi no tā, vai tās ir kritiskas vai mazietekmīgas. Šajā atjauninājumā Android novērš vairāk nekā 80 ievainojamības, no kurām daudzas bija kritiskas.
Ja programmatūras kļūda pieļauj kādu no šiem gadījumiem, tā tiek uzskatīta par kritisku: arbitra koda izpilde, bprogrammatūras mehānismu pāreja, remociju piekļuve sensitīviem akreditācijas datiem, remote apvedceļš, remote pastāvīgs DoS vai remote drošā sāknēšanas apiešana. Biļetenā uzsvērts: “Visnopietnākā ievainojamība šajā sadaļā var izraisīt attālinātu privilēģiju eskalāciju bez papildu izpildes privilēģijām. Ekspluatācijai lietotāja mijiedarbība nav nepieciešama.
Google izdod ikmēneša Android atjauninājumus, lai nodrošinātu ierīču aizsardzību pret jaunākajiem draudiem. Novecojuša tālruņa izmantošana var neradīt lielus draudus, taču tā ir drošības risks, no kura var viegli izvairīties. Jaunākajā atjauninājumu kārtā Android risināja vairāk nekā 80 draudus; starp tām bija 4 kritiskās ievainojamības.
Kritiskie draudi tiek izsekoti kā CVE-2023-40077, CVE-2023-40088, CVE-2023-40076 un CVE-2023-45866. CVE apzīmē kopējās ievainojamības un ekspozīcijas un darbojas kā nosaukšanas konvencija, lai palīdzētu drošības speciālistiem izsekot un atsaukties uz konkrētiem draudiem. Mēs neļausim pārāk tehniski nojaukt šīs kritiskās ievainojamības, taču redzēsim, kāda ir katra no tām.
CVE-2023-40077 ir drošības problēma funkcijās MetaDataBase.cpp. Šī problēma ir bezizmantošanas (UAF) rakstīšanas ievainojamība, kas izriet no sacensību stāvokļa. Vienkāršāk sakot, sacīkšu nosacījums rodas, ja programmatūras darbība ir atkarīga no notikumu laika, ieviešot neparedzamus rezultātus.
Android kritiskās ievainojamības var izraisīt attālu privilēģiju eskalāciju bez papildu izpildes privilēģijām
CVE-2023-40076 atklāj iespēju nesankcionētai piekļūt citu lietotāju akreditācijas datiem. Turklāt galvenais iemesls ir atļauju apiešana, kas potenciāli var pavērt ceļu vietējai privilēģiju eskalācijai.
CVE-2023-40088 ir nulles klikšķa RCE kļūda. Šis apdraudējums, ja tiek izmantots, var ļaut neautentificētiem attāliem lietotājiem izpildīt kodu ierīcē. CVE-2023-45866 apdraud Android, Linux, macOS un iOS ierīces. Šī ievainojamība nodrošina autentifikācijas apiešanu, kas var izraisīt koda izpildi upura galā. Ekspluatācijā tiek izmantota kļūda Bluetooth savienošanas pārī mehānismā, liekot mērķim pieņemt savienojumu ar Bluetooth tastatūru.
Android decembra atjauninājumā tika novērstas 84 drošības ievainojamības, no kurām četras (CVE-2023-40077, CVE-2023-40088, CVE-2023-40076 un CVE-2023-45866) bija kritiskas.