Във вторник Google обяви нов набор от актуализации на сигурността на Android, които адресират 35 уязвимости, включително грешка, свързана с локално повишаване на привилегиите, използвана при атаки.
Използваният недостатък, проследен като CVE-2024-32896 (CVSS оценка 7,8), е проблем с висока степен на опасност, засягащ компонента Framework на Android. Логическа грешка в кода може да доведе до заобикаляне на защитата, позволявайки на локален нападател да повиши привилегиите си.
„Най-сериозният от тези проблеми е уязвимост с висока степен на сигурност в компонента Framework, която може да доведе до локално повишаване на привилегиите, без да са необходими допълнителни права за изпълнение“, отбелязва Google в бюлетина за сигурността на Android от септември 2024 г.
Първоначално грешката беше разкрита през юни, когато Google предупреди, че е била използвана като нулев ден за атакуване на устройства Pixel. Актуализацията за сигурност на интернет гиганта за Pixel от юни 2024 г. отстрани уязвимостта.
„Има индикации, че CVE-2024-32896 може да е подложена на ограничена, целенасочена експлоатация“, предупреждава отново Google.
CVE-2024-32896 беше адресирана с първата част от актуализациите на Android този месец, която пристига на устройствата като ниво на кръпка за сигурност 2024-09-01, с поправки на общо 10 дефекта в сигурността.
Всички тези проблеми, три в компонента Framework и седем в компонента System, са с висока степен на опасност, разкрива консултацията на Google.
Втората част на актуализацията за сигурност на Android се разпространява на устройствата като ниво на кръпка за сигурност 2024-09-05 с поправки на 25 грешки в компонентите Kernel, Arm, Imagination Technologies, Unisoc и Qualcomm.
Нивото на кръпка за сигурност на Android от 2024-09-05 или по-късно разрешава всички тези уязвимости и недостатъците, поправени с предишни актуализации за сигурност.
Актуализацията за сигурност на Pixel от 2024 септември поправя шест проблема, включително четири грешки с критична сериозност, като и четирите са описани като грешки, свързани с повишаване на привилегиите. Google не споменава, че някоя от тях е била експлоатирана в дивата природа.
Въпреки че в актуализацията на Pixel не са включени функционални кръпки, устройствата с ниво на кръпката за сигурност 2024-09-05 адресират всичките шест уязвимости, както и дефектите в сигурността, разрешени с актуализацията на Android от септември 2024 г.
В понеделник Google публикува и отделна консултация, в която обръща внимание на 14 дефекта в сигурността, разрешени с актуализацията на Android 15. Всички устройства с Android 15, работещи с ниво на кръпката за сигурност 2024-09-01 или по-ново, съдържат поправки за разрешените грешки.
Интернет гигантът обяви и актуализациите на Automotive OS и Wear OS. В допълнение към недостатъците, описани в бюлетина за сигурност на Android от септември 2024 г., те поправят съответно една и четири уязвимости.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.