В понедельник Google объявила об обнаружении "критической уязвимости" в системной компоненте операционной системы Android, которая может вести к удаленному выполнению кода "без дополнительных привилегий на выполнение".
На данный момент Google воздерживается от раскрытия других подробностей об уязвимости, которая получила название CVE-2023-40088. Однако, по-видимому, данная уязвимость может быть использована для незаметной загрузки и установки вредоносного ПО на устройство Android, не вызывая подозрений у владельца.
Однако для осуществления атаки требуется физическая близость к устройству Android. Уязвимость может быть задействована удаленно через Wi-Fi, Bluetooth или NFC.
Google не сообщила, каким образом была обнаружена уязвимость и активно ли ее используют хакеры. Однако планируется выпустить патч в течение следующих двух для Android с открытым исходным кодом. Впоследствии производители устройств обязаны будут выпустить исправление ошибки. Компании, такие как Samsung и OnePlus, обязались выпускать обновления безопасности хотя бы раз в месяц. Google обычно выпускает обновления безопасности для своих телефонов Pixel в течение двух недель или ранее.
Новый патч, получивший название "Декабрьское обновление 2023 для Android", совместим с устройствами на базе Android 11-14. В релизе Google отмечает, что было обнаружено несколько других критических уязвимостей в операционной системе, которые могут быть использованы без участия владельца устройства. В результате злоумышленники получают административный доступ к устройству Android. Поэтому пострадавшим пользователям следует срочно установить описанное декабрьское обновление.