Компания Google выпустила октябрьские обновления безопасности для Android, устраняющие 54 уникальные уязвимости, в том числе две известные, которые активно эксплуатируются.
Эти две уязвимости - CVE-2023-4863 и CVE-2023-4211, для которых Google имеет "признаки того, что они могут подвергаться ограниченной, целенаправленной эксплуатации".
CVE-2023-4863 - это уязвимость переполнения буфера в вездесущей библиотеке с открытым исходным кодом libwebp, которая затрагивает множество программных продуктов, включая Chrome, Firefox, iOS, Microsoft Teams и многие другие.
Изначально этой уязвимости были ошибочно присвоены отдельные CVE для Apple iOS и Google Chrome, хотя на самом деле она находилась в базовой библиотеке. Последующая попытка устранить его путем присвоения нового CVE (CVE-2023-5129) была отклонена.
CVE-2023-4211 - активно эксплуатируемый недостаток, затрагивающий несколько версий драйверов GPU Arm Mali, используемых в широком спектре моделей Android-устройств.
Этот недостаток представляет собой проблему использования памяти после освобождения, которая может позволить злоумышленникам получить локальный доступ к конфиденциальным данным или манипулировать ими.
- 13 исправлений в Android Framework
- 12 исправлений в системных компонентах
- Два обновления в Google Play
- Пять исправлений в компонентах Arm
- Три исправления, касающиеся чипов MediaTek
- Одно исправление, касающееся чипов Unisoc
- 18 исправлений для компонентов Qualcomm (15 для закрытого ПО).
Из 54 исправлений, касающихся Android 11-13, пять относятся к категории критических, а два касаются проблем удаленного выполнения кода.
Данное обновление соответствует стандартной системе выпуска двух уровней исправлений: первый (2023-10-01) предназначен для основных компонентов Android (Framework + System), а второй (2023-10-06) - для ядра и компонентов с закрытым кодом.
Такой подход позволяет производителям устройств выборочно применять обновления, актуальные для их аппаратных моделей, что ускоряет их распространение.
Получатели первого уровня патча получат обновления ядра Android текущего месяца, а также обновления обоих уровней предыдущего месяца, в данном случае сентября 2023 года.
Те, кто увидит на экране обновлений второй уровень пути, получат все обновления, упомянутые в бюллетене этого месяца.
Версии Android 10 и старше больше не поддерживаются, однако в зависимости от масштаба некоторых недавно устраненных уязвимостей они также могут быть затронуты.
В связи с этим пользователям старых версий Android рекомендуется перейти на более новую модель или прошить свое устройство с помощью стороннего дистрибутива Android, предлагающего обновления безопасности для их моделей.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
