גוגל משחררת תיקון לשלוש פגיעויות שמנוצלות באנדרואיד

לפי The Hacker News , מבין הפגיעויות באנדרואיד שתוקנו על ידי גוגל, שלוש מנוצלות בהתקפות ממוקדות. פגיעות אחת, המקבלת את הקוד CVE-2023-26083, היא דליפת זיכרון המשפיעה על מנהל ההתקן של כרטיס המסך Arm Mali עבור שבבי Bifrost, Avalon ו-Valhall.

הפגיעות נוצלה במתקפה שהתקינה תוכנות ריגול על מכשירי סמסונג בדצמבר 2022. היא נחשבה חמורה מספיק כדי שסוכנות אבטחת הסייבר והתשתיות (CISA - ארה"ב) תוציא צו תיקון לסוכנויות פדרליות באפריל 2023.

פגיעות קריטית נוספת, CVE-2021-29256, היא פגיעות בחומרה גבוהה המשפיעה על גרסאות ספציפיות של מנהלי ההתקנים של ליבת ה-GPU של Bifrost ו-Midgard Arm Mali. הבאג מאפשר למשתמש לא מורשה לקבל גישה לא מורשית לנתונים רגישים ולהעלות את ההרשאות לרמה הגבוהה ביותר.

הפגיעות השלישית שנוצלה היא CVE-2023-2136, פגיעות בעלת חומרה גבוהה ב-Skia, ספריית הגרפיקה הדו-ממדית חוצת הפלטפורמות בקוד פתוח של גוגל. היא זוהתה בתחילה כפגיעות של יום אפס בדפדפן כרום שאפשרה לתוקפים מרוחקים לברוח מארגז החול ולפרוס קוד מרחוק במכשירי אנדרואיד.

תיקון האבטחה של גוגל לאנדרואיד מיולי מטפל גם בפגיעות קריטית, CVE-2023-21250, המשפיעה על רכיב מערכת אנדרואיד שעלול לאפשר ביצוע קוד מרחוק ללא התערבות משתמש או הרשאות נוספות.

עדכוני אבטחה אלה מופצים בשתי רמות. התיקון הראשון שיצא ב-1 ביולי מתמקד ברכיבי ליבה של אנדרואיד, ומטפל ב-22 פגמי אבטחה ברכיבי המערכת ובמסגרת. התיקון השני שיצא ב-5 ביולי מטפל ברכיבי הליבה ובקוד סגור, ומטפל ב-20 פגיעויות ברכיבי הליבה, שבבי Arm וטכנולוגיית הדמיה במעבדי MediaTek ו-Qualcomm.

עם זאת, ייתכן שהשפעת הפגיעויות תרחיב מעבר לגרסאות אנדרואיד הנתמכות (11, 12 ו-13), וייתכן שתשפיע על גרסאות ישנות יותר של מערכת ההפעלה שאינן מקבלות עוד תמיכה רשמית.

גוגל גם פרסמה תיקוני אבטחה כדי לטפל ב-14 פגיעויות ברכיבים עבור מכשירי פיקסל. שתיים מהפגמים הקריטיים הללו מאפשרות התקפות העלאת הרשאות ומניעת שירות.