ตามรายงานของ The Hacker News ช่องโหว่ในระบบ Android ที่ Google แพตช์แล้ว มีอยู่ 3 ช่องโหว่ที่ถูกโจมตีแบบเจาะจง ช่องโหว่หนึ่งมีรหัส CVE-2023-26083 ซึ่งเป็นการรั่วไหลของหน่วยความจำที่ส่งผลต่อไดรเวอร์ GPU ของ Arm Mali สำหรับชิป Bifrost, Avalon และ Valhall
ช่องโหว่นี้ถูกใช้ประโยชน์ในการโจมตีโดยติดตั้งสปายแวร์บนอุปกรณ์ Samsung ในเดือนธันวาคม 2022 ซึ่งถือว่าร้ายแรงเพียงพอที่หน่วยงานความปลอดภัยโครงสร้างพื้นฐานและความปลอดภัยไซเบอร์ (CISA - US) จะออกคำสั่งให้แก้ไขให้กับหน่วยงานของรัฐบาลกลางในเดือนเมษายน 2023
ช่องโหว่ร้ายแรงอีกประการหนึ่งคือ CVE-2021-29256 ซึ่งเป็นช่องโหว่ที่มีความรุนแรงสูงซึ่งส่งผลต่อไดรเวอร์เคอร์เนล GPU Bifrost และ Midgard Arm Mali บางเวอร์ชัน ข้อบกพร่องนี้ทำให้ผู้ใช้ที่ไม่มีสิทธิ์เข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาตและยกระดับสิทธิ์เป็นระดับสูงสุด
ช่องโหว่ที่ถูกใช้ประโยชน์ที่สามคือ CVE-2023-2136 ซึ่งเป็นช่องโหว่ที่มีความรุนแรงสูงใน Skia ซึ่งเป็นไลบรารีกราฟิก 2D โอเพนซอร์สข้ามแพลตฟอร์มของ Google โดยในเบื้องต้นระบุว่าเป็นช่องโหว่แบบ zero-day ในเบราว์เซอร์ Chrome ที่ทำให้ผู้โจมตีจากระยะไกลสามารถหลบหนีจากแซนด์บ็อกซ์และปรับใช้โค้ดจากระยะไกลบนอุปกรณ์ Android ได้
แพตช์ความปลอดภัยของ Android เดือนกรกฎาคมของ Google ยังแก้ไขช่องโหว่สำคัญ CVE-2023-21250 ซึ่งส่งผลกระทบต่อส่วนประกอบระบบ Android ที่อาจอนุญาตให้เรียกใช้โค้ดจากระยะไกลโดยไม่ต้องมีการโต้ตอบจากผู้ใช้หรือได้รับสิทธิ์เพิ่มเติม
ข้อบกพร่องที่ค้นพบเป็นเรื่องที่น่ากังวลเนื่องจากจะส่งผลกระทบต่ออุปกรณ์ Android รุ่นเก่าด้วย
การอัปเดตด้านความปลอดภัยเหล่านี้กำลังเปิดตัวในสองระดับ แพตช์แรกเปิดตัวเมื่อวันที่ 1 กรกฎาคมมุ่งเน้นไปที่ส่วนประกอบหลักของ Android โดยแก้ไขข้อบกพร่องด้านความปลอดภัย 22 รายการในส่วนประกอบเฟรมเวิร์กและระบบ แพตช์ที่สองเปิดตัวเมื่อวันที่ 5 กรกฎาคมแก้ไขส่วนประกอบเคอร์เนลและซอร์สปิด โดยแก้ไขช่องโหว่ 20 รายการในส่วนประกอบเคอร์เนล ชิป Arm และเทคโนโลยีการถ่ายภาพในโปรเซสเซอร์ MediaTek และ Qualcomm
ผลกระทบของช่องโหว่อาจขยายไปไกลเกินกว่าเวอร์ชัน Android ที่รองรับ (11, 12 และ 13) อย่างไรก็ตาม อาจส่งผลกระทบต่อระบบปฏิบัติการเวอร์ชันเก่าที่ไม่ได้รับการสนับสนุนอย่างเป็นทางการอีกต่อไป
นอกจากนี้ Google ยังออกแพตช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 14 รายการในส่วนประกอบของอุปกรณ์ Pixel โดยช่องโหว่สำคัญ 2 รายการช่วยให้สามารถยกระดับสิทธิ์และโจมตีด้วยการปฏิเสธการให้บริการได้
ลิงค์ที่มา
การแสดงความคิดเห็น (0)