Google, Android'de istismar edilen 3 güvenlik açığı için yamalar yayınladı.

Hacker News'e göre, Google'ın yamaladığı Android güvenlik açıklarından üçü hedefli saldırılarda kullanılıyor. CVE-2023-26083 kod adlı güvenlik açığı, Bifrost, Avalon ve Valhall çipleri için Arm Mali GPU sürücüsünü etkileyen bir bellek sızıntısıdır.

Bu güvenlik açığı, Aralık 2022'de Samsung cihazlarına casus yazılım yükleyen bir saldırıda istismar edildi. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Nisan 2023'te federal kurumlara bir yama emri yayınlayacak kadar ciddi bulundu.

CVE-2021-29256 kodlu bir diğer kritik güvenlik açığı, yüksek önem derecesine sahip olarak sınıflandırılmıştır ve Bifrost ve Midgard Arm Mali GPU çekirdek sürücülerinin belirli sürümlerini etkiler. Bu kusur, yetkisiz kullanıcıların hassas verilere yetkisiz erişim sağlamasına ve ayrıcalıklarını en üst düzeye çıkarmasına olanak tanır.

İstismar edilen üçüncü güvenlik açığı ise Google'ın platformlar arası açık kaynaklı 2B grafik kütüphanesi Skia'da bulunan yüksek önem dereceli bir güvenlik açığı olan CVE-2023-2136'dır. Başlangıçta Chrome tarayıcısında sıfır gün güvenlik açığı olarak tanımlanan bu açık, uzaktan bir saldırganın sanal ortamdan çıkmak ve bir Android cihaza uzaktan kod dağıtmak için ayrıcalıklar elde etmesine olanak tanır.

Google'ın Temmuz ayı Android güvenlik yaması, Android sistem bileşenini etkileyen kritik güvenlik açığı CVE-2023-21250'yi de ele alıyor. Bu sorun, kullanıcı etkileşimi veya ek ayrıcalıklar olmadan uzaktan kod yürütülmesine olanak sağlayabilir.

Bu güvenlik güncellemeleri iki aşamada dağıtılıyor. 1 Temmuz'da yayınlanan ilk yama, temel Android bileşenlerine odaklanarak çerçeve ve sistem bileşenlerindeki 22 güvenlik açığını gideriyor. 5 Temmuz'da yayınlanan ikinci yama ise çekirdek ve kapalı kaynaklı bileşenlerdeki güvenlik açıklarını düzelterek MediaTek ve Qualcomm işlemcilerinin çekirdek bileşenlerinde, Arm çiplerinde ve görüntüleme teknolojilerinde bulunan 20 hatayı ele alıyor.

Ancak, bu güvenlik açıklarının etkisi, desteklenen Android sürümlerinin (11, 12 ve 13) ötesine uzanarak, artık resmi destek almayan eski işletim sistemi sürümlerini de etkileyebilir.

Google ayrıca Pixel cihazlarındaki bileşenlerde bulunan 14 güvenlik açığını gideren güvenlik yamaları yayınladı. Bu kritik güvenlik açıklarından ikisi, ayrıcalık yükseltme ve hizmet reddi saldırılarına olanak tanıyor.