גוגל משחררת תיקון לשלוש פגיעויות שמנוצלות באנדרואיד

[מודעה_1]

לפי The Hacker News , מבין הפגיעויות באנדרואיד שתוקנו על ידי גוגל, שלוש מנוצלות בהתקפות ממוקדות. פגיעות אחת, המקבלת את הקוד CVE-2023-26083, היא דליפת זיכרון המשפיעה על מנהל ההתקן של כרטיס המסך Arm Mali עבור שבבי Bifrost, Avalon ו-Valhall.

הפגיעות נוצלה במתקפה שהתקינה תוכנות ריגול על מכשירי סמסונג בדצמבר 2022. היא נחשבה חמורה מספיק כדי שסוכנות אבטחת הסייבר והתשתיות (CISA - ארה"ב) תוציא צו תיקון לסוכנויות פדרליות באפריל 2023.

פגיעות קריטית נוספת, CVE-2021-29256, היא פגיעות בחומרה גבוהה המשפיעה על גרסאות ספציפיות של מנהלי ההתקנים של ליבת ה-GPU של Bifrost ו-Midgard Arm Mali. הבאג מאפשר למשתמש לא מורשה לקבל גישה לא מורשית לנתונים רגישים ולהעלות את ההרשאות לרמה הגבוהה ביותר.

הפגיעות השלישית שנוצלה היא CVE-2023-2136, פגיעות בחומרה גבוהה ב-Skia, ספריית הגרפיקה הדו-ממדית חוצת הפלטפורמות בקוד פתוח של גוגל. היא זוהתה בתחילה כפגיעות של יום אפס בדפדפן כרום שאפשרה לתוקפים מרוחקים לברוח מארגז החול ולפרוס קוד מרחוק במכשירי אנדרואיד.

תיקון האבטחה של גוגל לאנדרואיד מיולי מטפל גם בפגיעות קריטית, CVE-2023-21250, המשפיעה על רכיב מערכת אנדרואיד שעלול לאפשר ביצוע קוד מרחוק ללא התערבות משתמש או הרשאות נוספות.

Google tung bản vá 3 lỗ hổng đang bị khai thác trên Android - Ảnh 1. — הבאגים שהתגלו מדאיגים משום שהם משפיעים על מכשירי אנדרואיד ישנים אף יותר.

עדכוני אבטחה אלה מופצים בשתי שכבות. העדכון הראשון, שיצא ב-1 ביולי, מתמקד ברכיבי ליבה של אנדרואיד, ומטפל ב-22 פגמי אבטחה ברכיבי המערכת ובמסגרת. העדכון השני, שיצא ב-5 ביולי, מטפל ברכיבי הליבה ובקוד סגור, ומטפל ב-20 פגיעויות ברכיבי הליבה, בשבבי Arm ובטכנולוגיית ההדמיה של מעבדי MediaTek ו-Qualcomm.

השפעת הפגיעויות עלולה להתרחב מעבר לגרסאות אנדרואיד הנתמכות (11, 12 ו-13), דבר שעלול להשפיע על גרסאות ישנות יותר של מערכת ההפעלה שכבר אינן מקבלות תמיכה רשמית.

גוגל גם פרסמה תיקוני אבטחה כדי לטפל ב-14 פגיעויות ברכיבים עבור מכשירי פיקסל. שתיים מהפגמים הקריטיים הללו מאפשרות התקפות העלאת הרשאות ומניעת שירות.

[מודעה_2]
קישור למקור