A Google kiadott egy javítást 3 Android-alapú sebezhetőségre.

A The Hacker News szerint a Google által javított Android sebezhetőségek közül hármat célzott támadásokban használnak ki. Az egyik sebezhetőség, amelynek kódneve CVE-2023-26083, egy memóriaszivárgás, amely a Bifrost, Avalon és Valhall chipek Arm Mali GPU illesztőprogramját érinti.

Ezt a sebezhetőséget kihasználva egy támadás során kémprogramokat telepítettek Samsung eszközökre 2022 decemberében. A helyzetet elég súlyosnak ítélték ahhoz, hogy a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) 2023 áprilisában javítási utasítást adott ki a szövetségi ügynökségeknek.

Egy másik kritikus, CVE-2021-29256 kódú sebezhetőség magas súlyosságúnak minősül, és a Bifrost és Midgard Arm Mali GPU magillesztőprogramok bizonyos verzióit érinti. Ez a hiba lehetővé teszi a jogosulatlan felhasználók számára, hogy jogosulatlanul hozzáférjenek érzékeny adatokhoz, és a legmagasabb szintre emeljék a jogosultságokat.

A harmadik kihasznált sebezhetőség a CVE-2023-2136, egy súlyos sebezhetőség a Skia-ban, a Google többplatformos, nyílt forráskódú 2D grafikus könyvtárában. Kezdetben a Chrome böngésző nulladik napi sebezhetőségeként azonosították, és lehetővé teszi a távoli támadók számára, hogy jogosultságokat szerezzenek a sandboxból való kilépéshez, és távolról telepítsenek kódot egy Android-eszközön.

A Google júliusi Android biztonsági javítása a CVE-2023-21250 számú kritikus sebezhetőséget is kezeli, amely egy Android rendszerösszetevőt érint. Ez a probléma távoli kódfuttatást tehet lehetővé felhasználói beavatkozás vagy további jogosultságok nélkül.

Ezek a biztonsági frissítések két szinten kerülnek telepítésre. Az első, július 1-jén kiadott javítás az Android alapvető komponenseire összpontosít, és 22 biztonsági rést javít a keretrendszer és a rendszer komponenseiben. A második, július 5-én kiadott javítás a kernel és a zárt forráskódú komponensek sebezhetőségeit javítja, 20 hibát kezelve a kernel komponensekben, az Arm chipekben és a MediaTek és Qualcomm processzorok képalkotási technológiáiban.

Ezen sebezhetőségek hatása azonban túlmutathat a támogatott Android-verziókon (11, 12 és 13), és potenciálisan a régebbi operációs rendszerverziókat is érintheti, amelyek már nem kapnak hivatalos támogatást.

A Google emellett biztonsági javításokat is kiadott, amelyek 14, a Pixel eszközök összetevőiben található sebezhetőséget javítanak. Ezen kritikus sebezhetőségek közül kettő privilégiumok eszkalációját és szolgáltatásmegtagadási támadásokat tesz lehetővé.