Google je u ponedjeljak najavio izdavanje zakrpa za 51 ranjivost kao dio oktobarskih sigurnosnih ažuriranja za Android, uključujući ispravke za dvije greške nultog dana koje su korištene u zlonamjernim napadima.
Prvi od iskorištavanih problema je CVE-2023-4863 (CVSS rezultat 8,8), prekoračenje bafera hrpe u biblioteci Libwebp koji dovodi do pisanja memorije izvan granica i udaljenog izvršavanja koda (RCE).
U sigurnosnom Android biltenu za oktobar 2023. godine, Google objašnjava da ranjivost utiče na komponentu sistema i procjenjuje je ‘kritičnom’ ocjenom ozbiljnosti.
Iako tehnološki gigant ne daje konkretne informacije o uočenoj eksploataciji u okruženju, problem su identifikovali i prijavili Apple i grupa Citizen Lab na Munk školi Univerziteta u Torontu, koja često opisuje napade povezane s komercijalnim prodavačima špijunskog softvera. Greška je iskorišćena za isporuku špijunskog softvera na iPhone.
Proteklih sedmica, dobavljači su se trudili da procijene uticaj CVE-2023-4863 i da se pozabave greškom. Do danas su Palo Alto Networks, 1Password, Microsoft i drugi objavili savjete.
Vrijedi napomenuti da iako je CVE-2023-4863 navodno iskorištavan, nema detalja o napadima osim onih usmjerenih na iPhone uređaje.
Tipično, Google dijeli Android sigurnosne biltene na dva različita nivoa zakrpa, na osnovu zahvaćenih komponenti, ali ovomjesečni bilten ima treći dio, nivo sigurnosne zakrpe 2023-10-06, koji se posebno odnosi na CVE-2023-4863.
Druga zero-day greška koja je riješena u Androidu ovog mjeseca je CVE-2023-4211, greška u upravljačkom programu Arm Mali GPU-a koja omogućava lokalnom neprivilegovanom korisniku da izvrši “nepravilne operacije obrade GPU memorije kako bi dobio pristup već oslobođenoj memoriji” .
“Postoje dokazi da ova ranjivost može biti pod ograničenom, ciljanom eksploatacijom”, napominju Google i Arm u svojim savjetima.
Nema dostupnih informacija o ovim napadima. Međutim, u prošlosti je Google prijavio da je vidio ranjivosti upravljačkog programa Arm Mali GPU uključene u sofisticirane lance eksploatacije čiji je krajnji cilj bio isporuka komercijalnog špijunskog softvera. Ovo bi mogao biti slučaj i sa CVE-2023-4211, s obzirom da je Arm zaslužan za Googleove istraživače za prijavljivanje greške.
CVE-2023-4211 je adresiran kao dio nivoa sigurnosne zakrpe 2023-10-05, koja rješava ukupno 26 problema u komponentama Arm, MediaTek, Unisoc i Qualcomm.
Za Pixel uređaje, zakrpe za ranjivost drajvera Mali GPU-a objavljene su 18. septembra, uz vanpojasni Pixel bilten ažuriranja.
Prvi dio ovomjesečnog ažuriranja za Android, nivo sigurnosne zakrpe 2023-10-01, rješava 24 propusta u komponentama platforme Framework i System.
Svih 51 ranjivost je riješena na uređajima koji koriste sigurnosnu zakrpu od 2023-10-06 ili noviju.
Izvor: SecurityWeek