גוגל משחררת תיקונים לשלוש פגיעויות שמנוצלות באנדרואיד.

[מודעה_1]

לפי The Hacker News , מבין הפגיעויות באנדרואיד שגוגל תיקנה, שלוש מנוצלות בהתקפות ממוקדות. פגיעות אחת, בשם הקוד CVE-2023-26083, היא דליפת זיכרון המשפיעה על מנהל ההתקן של כרטיס המסך Arm Mali עבור שבבי Bifrost, Avalon ו-Valhall.

פגיעות זו נוצלה במתקפה שהתקינה תוכנות ריגול על מכשירי סמסונג בדצמבר 2022. היא נחשבה חמורה מספיק כדי שסוכנות אבטחת הסייבר והתשתיות (CISA) תוציא צו תיקון לסוכנויות פדרליות באפריל 2023.

פגיעות קריטית נוספת, המקודדת CVE-2021-29256, מסווגת כבעלת חומרה גבוהה ומשפיעה על גרסאות ספציפיות של מנהלי ההתקנים של ליבת ה-GPU של Bifrost ו-Midgard Arm Mali. פגם זה מאפשר למשתמשים לא מורשית לקבל גישה לא מורשית לנתונים רגישים ולהעלות את ההרשאות לרמה הגבוהה ביותר.

הפגיעות השלישית שנוצלה היא CVE-2023-2136, פגיעות בעלת חומרה גבוהה ב-Skia, ספריית הגרפיקה הדו-ממדית חוצת הפלטפורמות בקוד פתוח של גוגל. זוהתה בתחילה כפגיעות של יום אפס בדפדפן כרום, והיא מאפשרת לתוקף מרוחק לקבל הרשאות לברוח מארגז החול ולפרוס קוד מרחוק במכשיר אנדרואיד.

תיקון האבטחה של גוגל לאנדרואיד ביולי מטפל גם בפגיעות הקריטית CVE-2023-21250, המשפיעה על רכיב במערכת אנדרואיד. בעיה זו עלולה לאפשר ביצוע קוד מרחוק ללא התערבות משתמש או הרשאות נוספות.

Google tung bản vá 3 lỗ hổng đang bị khai thác trên Android - Ảnh 1. — הבאגים שהתגלו מדאיגים משום שהם משפיעים על מכשירי אנדרואיד ישנים אף יותר.

עדכוני אבטחה אלה נפרסים בשתי שכבות. התיקון הראשון, שיצא ב-1 ביולי, מתמקד ברכיבי ליבה של אנדרואיד, ומטפל ב-22 פגיעויות אבטחה ברכיבי המסגרת והמערכת. התיקון השני, שיצא ב-5 ביולי, מתקן פגיעויות בליבת המערכות וברכיבי קוד סגור, ומטפל ב-20 פגמים ברכיבי ליבה, שבבי Arm וטכנולוגיות הדמיה של מעבדי MediaTek ו-Qualcomm.

עם זאת, השפעתן של פגיעויות אלו עשויה להתרחב מעבר לגרסאות אנדרואיד הנתמכות (11, 12 ו-13), ולגרום לפגיעה אפשרית בגרסאות ישנות יותר של מערכת הפעלה שאינן מקבלות עוד תמיכה רשמית.

גוגל גם פרסמה תיקוני אבטחה המטפלים ב-14 פגיעויות ברכיבים עבור מכשירי פיקסל. שתיים מהפגיעויות הקריטיות הללו מאפשרות הסלמת הרשאות והתקפות מניעת שירות.

[מודעה_2]
קישור למקור