A Google kiadta múlt hónapban a legújabb biztonsági frissítéseket az Android rendszerhez, amelyek 43 sebezhetőséget javítanak, közte három olyat, amelyeket támadásokra használtak fel.
A kihasznált sebezhetőségek, melyek azonosítószámaik alapján a CVE-2023-2136, CVE-2023-26083 és CVE-2021-29256, az Android rendszer és az Arm-Mali hardver komponenseket érintik.
Az internetes óriás szerint „jelek vannak” arra utalva, hogy ezeket a biztonsági hibákat ” céltudatos támadásokra” használják fel.
A Chrome böngésző sebezhetősége
A CVE-2023-2136 sebezhetőség áprilisban került nyilvánosságra nullanapos sérülékenységként a Chrome böngészőben. A Google júliusi 2023-as Android biztonsági tájékoztatás szerint a sebezhetőséget távoli kódfuttatás elérésére lehet kihasználni Android-eszközökön.
A hiba lehetővé teszi ” egy távoli támadó számára, hogy a renderelő folyamat megakadályozásával és egy módosított HTML oldal segítségével esetlegesen elkerülje a sandbox védelmét”, ahogy egy NIST tanács is magyarázza.
„A legkomolyabb ezek közül a problémák közül egy kritikus biztonsági sebezhetőség a Rendszer komponensben, amely távoli kódfuttatáshoz vezethet anélkül, hogy további végrehajtási jogosultságokra lenne szükség. Felhasználói interakció nem szükséges a kihasználáshoz” – áll a Google jelentésében.
Gpu és hardver sebezhetőség
A további sebezhetőség, a CVE-2021-29256, a Mali GPU kernel driverekre ható jogosultság-emelkedési sebezhetőség.
„Egy nem jogosult felhasználó helytelen műveleteket hajthat végre a GPU memóriájával, hogy hozzáférjen már felszabadult memóriához, és gyökérjogosultságot szerezzen, és/vagy információt szivárogtasson ki” – magyarázza az Arm, a saját tájékoztatójában.
Biztonsági frissítés
A 2023-07-01-es biztonsági csomagot tartalmazó, vagy újabb Androidos eszközök javítva vannak ezen sebezhetőség és 22 más biztonsági hiba ellen, beleértve a kritikus súlyosságú távoli kódfuttatás problémát.
Ezen a héten a Google bejelentette a biztonsági frissítéseket a Pixel eszközökhöz is, amelyek 14 sebezhetőséget javítanak a Kernel, Pixel és Qualcomm komponensekben. A sérülékenységek között további két olyan van, amelyek magas súlyosságú előjogosultság-emelkedéshez és szolgáltatás megtagadáshoz (DoS) vezetnek.
Ellenőrizd és frissítsd az Android verziódat
Az Android verziószámát, a biztonsági frissítés szintjét, valamint a Google Play rendszer verzióját megtalálhatod a Beállítások alkalmazásban. Értesítéseket kapsz, amikor frissítések elérhetővé válnak számodra. Emellett ellenőrizheted a frissítések meglétét is.
Így ellenőrizheted az Android verziódat:
• Nyisd meg a telefon Beállítások alkalmazását!
• A képernyő alján érintsd meg az „A telefonról” lehetőséget, majd az „Android verzió” lehetőséget!
• Itt találod az „Android verziót”, az „Android biztonsági frissítést” és az „Építési számot”.
A fenti problémák javítása végett, érdemes a telefonod mindiig a legfrissebb elérhető szoftverre frissíteni. A biztonsági frissítések elérhetősége gyártóról gyártóra változik. Általában a Google Pixel telefonok kapják meg a leggyorsabban a frissítéseket, valamint Samsung és a Xiaomi készülékek fejlesztői szokták még gyorsan foltozni a hibákat.
