ອີງຕາມ The Hacker News , ໃນບັນດາຊ່ອງໂຫວ່ Android patched ໂດຍ Google, ສາມແມ່ນໄດ້ຮັບການຂູດຮີດໃນການໂຈມຕີເປົ້າຫມາຍ. ຊ່ອງໂຫວ່ໜຶ່ງ, ຖືກມອບໝາຍໃຫ້ລະຫັດ CVE-2023-26083, ແມ່ນການຮົ່ວໄຫຼຂອງໜ່ວຍຄວາມຈຳທີ່ສົ່ງຜົນກະທົບຕໍ່ Driver Arm Mali GPU ສຳລັບຊິບ Bifrost, Avalon ແລະ Valhall.
ຊ່ອງໂຫວ່ດັ່ງກ່າວໄດ້ຖືກຂູດຮີດໃນການໂຈມຕີທີ່ຕິດຕັ້ງ spyware ໃນອຸປະກອນ Samsung ໃນເດືອນທັນວາ 2022. ມັນຖືວ່າຮ້າຍແຮງພໍທີ່ອົງການຄວາມປອດໄພທາງໄຊເບີ ແລະໂຄງສ້າງພື້ນຖານ (CISA - US) ອອກຄໍາສັ່ງ patch ໃຫ້ກັບອົງການຂອງລັດຖະບານກາງໃນເດືອນເມສາ 2023.
ຊ່ອງໂຫວ່ທີ່ສໍາຄັນອີກອັນຫນຶ່ງ, CVE-2021-29256, ແມ່ນຊ່ອງໂຫວ່ຄວາມຮຸນແຮງສູງທີ່ສົ່ງຜົນກະທົບຕໍ່ເວີຊັ່ນສະເພາະຂອງ Bifrost ແລະ Midgard Arm Mali GPU kernel drivers. ບັກດັ່ງກ່າວອະນຸຍາດໃຫ້ຜູ້ໃຊ້ທີ່ບໍ່ມີສິດໄດ້ຮັບການເຂົ້າເຖິງຂໍ້ມູນທີ່ລະອຽດອ່ອນໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ ແລະຂະຫຍາຍສິດທິພິເສດໄປໃນລະດັບສູງສຸດ.
ຊ່ອງໂຫວ່ທີ່ສາມທີ່ຖືກຂູດຮີດແມ່ນ CVE-2023-2136, ຊ່ອງໂຫວ່ຄວາມຮຸນແຮງສູງໃນ Skia, ຫ້ອງສະໝຸດກາຟິກ 2D ຂ້າມແພລດຟອມຂອງ Google. ມັນໄດ້ຖືກລະບຸໃນເບື້ອງຕົ້ນວ່າເປັນຊ່ອງໂຫວ່ສູນໃນຕົວທ່ອງເວັບ Chrome ທີ່ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີທາງໄກສາມາດຫລົບຫນີ sandbox ແລະໃຊ້ລະຫັດຫ່າງໄກສອກຫຼີກໃນອຸປະກອນ Android.
ໂປຣແກຣມແກ້ໄຂຄວາມປອດໄພ Android ເດືອນກໍລະກົດຂອງ Google ຍັງແກ້ໄຂຊ່ອງໂຫວ່ທີ່ສໍາຄັນ, CVE-2023-21250, ຜົນກະທົບຕໍ່ອົງປະກອບຂອງລະບົບ Android ທີ່ສາມາດອະນຸຍາດໃຫ້ດໍາເນີນການລະຫັດໄລຍະໄກໂດຍບໍ່ມີການໂຕ້ຕອບຂອງຜູ້ໃຊ້ຫຼືສິດທິພິເສດເພີ່ມເຕີມ.
ແມງໄມ້ທີ່ຄົ້ນພົບແມ່ນເປັນຄວາມກັງວົນເພາະວ່າພວກມັນມີຜົນກະທົບຕໍ່ອຸປະກອນ Android ທີ່ເກົ່າກວ່າ.
ການປັບປຸງຄວາມປອດໄພເຫຼົ່ານີ້ກໍາລັງຖືກເປີດຕົວໃນສອງຊັ້ນ. patch ທໍາອິດ, ປ່ອຍອອກມາເມື່ອເດືອນກໍລະກົດ 1, ໄດ້ສຸມໃສ່ອົງປະກອບ Android ຫຼັກ, ແກ້ໄຂ 22 ຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພໃນກອບແລະອົງປະກອບຂອງລະບົບ. patch ທີສອງ, ປ່ອຍອອກມາເມື່ອເດືອນກໍລະກົດ 5, ແກ້ໄຂ kernel ແລະອົງປະກອບປິດ, ແກ້ໄຂ 20 ຊ່ອງໂຫວ່ໃນອົງປະກອບ kernel, ຊິບ Arm, ແລະເຕັກໂນໂລຊີການຖ່າຍຮູບຂອງ MediaTek ແລະ Qualcomm processors.
ຜົນກະທົບຂອງຊ່ອງໂຫວ່ສາມາດຂະຫຍາຍອອກໄປນອກເໜືອໄປກວ່າເວີຊັນ Android ທີ່ຮອງຮັບ (11, 12, ແລະ 13) ເຖິງແມ່ນວ່າ, ອາດຈະສົ່ງຜົນກະທົບຕໍ່ລະບົບປະຕິບັດການລຸ້ນເກົ່າທີ່ບໍ່ໄດ້ຮັບການສະໜັບສະໜູນຢ່າງເປັນທາງການອີກຕໍ່ໄປ.
ກູໂກຍັງໄດ້ປ່ອຍຕົວແກ້ໄຂຄວາມປອດໄພເພື່ອແກ້ໄຂ 14 ຊ່ອງໂຫວ່ໃນອົງປະກອບສໍາລັບອຸປະກອນ Pixel. ສອງຂໍ້ບົກພ່ອງທີ່ສໍາຄັນເຫຼົ່ານີ້ເຮັດໃຫ້ການຍົກລະດັບສິດທິພິເສດແລະການປະຕິເສດການໂຈມຕີການບໍລິການ.
ແຫຼ່ງທີ່ມາ
(0)