Bản cập nhật Android tháng 12 sửa lỗi RCE không cần nhấp chuột

Lỗi được theo dõi là CVE-2023-40088, lỗi RCE không cần nhấp chuột đã được tìm thấy trong thành phần Hệ thống của Android và không yêu cầu đặc quyền bổ sung để khai thác.

Mặc dù Google vẫn chưa tiết lộ liệu những kẻ tấn công có nhắm mục tiêu vào lỗ hổng bảo mật này hay không, nhưng các tác nhân đe dọa có thể khai thác nó để thực thi mã tùy ý mà không cần sự tương tác của người dùng.

Khuyến cáo đã giải thích: “Vấn đề nghiêm trọng nhất trong số này là lỗ hổng bảo mật nghiêm trọng trong thành phần Hệ thống. Lỗ hổng này có thể dẫn đến việc thực thi mã từ xa (gần/liền kề) mà không cần đặc quyền thực thi bổ sung, không cần tương tác của người dùng để khai thác”.

"Đánh giá mức độ nghiêm trọng dựa trên tác động mà việc khai thác lỗ hổng có thể gây ra trên thiết bị bị ảnh hưởng, giả sử như các biện pháp giúp giảm nhẹ nền tảng và dịch vụ bị tắt để phát triển hoặc nếu vượt qua thành công."

Thêm 84 lỗ hổng bảo mật đã được vá trong tháng này, với ba trong số đó (CVE-2023-40077, CVE-2023-40076 và CVE-2023-45866) lỗi nâng cao đặc quyền và tiết lộ thông tin ở mức độ nghiêm trọng trong các thành phần Hệ thống và Khung Android.

Lỗ hổng nghiêm trọng thứ tư (CVE-2022-40507) đã được xử lý trong các thành phần nguồn đóng của Qualcomm.

Lỗ hổng zero-day trên Android bị khai thác trong các cuộc tấn công

Hai tháng trước, vào tháng 10, Google cũng đã vá hai lỗi bảo mật (CVE-2023-4863 và CVE-2023-4211) bị khai thác dưới dạng zero-days, lỗi trước trong thư viện nguồn mở libwebp và lỗi sau ảnh hưởng đến nhiều Arm Mali Các phiên bản trình điều khiển GPU được sử dụng trong nhiều mẫu thiết bị Android.

Bản cập nhật bảo mật Android tháng 9 đã xử lý một lỗ hổng zero-day khác (CVE-2023-35674) được khai thác chủ động trong thành phần Android Framework cho phép kẻ tấn công nâng cao đặc quyền mà không yêu cầu đặc quyền thực thi bổ sung hoặc tương tác của người dùng.

Như thường lệ, Google đã phát hành hai bộ bản vá với tháng cập nhật bảo mật tháng 12, được xác định là các cấp độ bảo mật 2023-12-01 và 2023-12-05. Bản thứ hai bao gồm tất cả các bản sửa lỗi từ bộ đầu tiên và các bản vá bổ sung cho các thành phần hạt nhân và nguồn đóng của bên thứ ba. Đáng chú ý, các bản vá khác này có thể không cần thiết đối với tất cả các thiết bị Android.

Các nhà cung cấp thiết bị có thể ưu tiên triển khai mức bản vá ban đầu để hợp lý hóa quy trình cập nhật, mặc dù điều này vốn không nhìn thấy nguy cơ bị khai thác tiềm ẩn cao.

Cũng cần lưu ý rằng, ngoại trừ các thiết bị Google Pixel nhận được bản cập nhật bảo mật hàng tháng ngay sau khi phát hành, các nhà sản xuất khác sẽ cần một thời gian trước khi tung ra các bản vá. Điều này cần thiết để thử nghiệm bổ sung các bản vá bảo mật nhằm đảm bảo không có sự không tương thích với các cấu hình phần cứng khác nhau.

Nguồn: bleepingcomputer.com