Компания Google объявила о том, что обнаружила критическую уязвимость безопасности в операционной системе Android, которая может позволить злоумышленникам удалённо выполнять код на устройстве без необходимости в наличии дополнительных привилегий для его выполнения. Эта проблема была присвоена идентификатором CVE-2023-40088. Компания не раскрывает подробностей об уязвимости, однако известно, что она относится к категории System и может быть использована для удалённой загрузки и установки вредоносного ПО на устройство через Wi-Fi, Bluetooth или NFC без ведома владельца гаджета.
Google отметила, что указанная уязвимость может быть использована удаленно, но стоит отметить, что злоумышленнику нужно находиться относительно близко к устройству потенциальной жертвы. Компания выпустит исправление, которое устранит эту брешь для версий Android 11, 12, 12L, 13 и последней версии Android 14 через проект Android Open Source.
После этого производители устройств могут распространить патч через свои каналы обновлений. Обновление будет разослано производителям устройств в течение следующих нескольких дней. Телефоны Google Pixel могут быть первыми, кто получит исправление, но для других брендов сроки могут отличаться.
Ранее в примечаниях к декабрьскому бюллетеню безопасности Google также сообщила о нескольких других критических уязвимостей в мобильной операционной системе Android, которые приводят к повышению прав и раскрытию информации, затрагивая компоненты Android Framework и System. Рекомендуется внимательнее следить за декабрьскими обновлениями безопасности и устанавливать их, как только они станут доступными.