आपको क्या जानने की आवश्यकता है
- Google को एंड्रॉइड में एक सुरक्षा दोष मिला जो रिमोट कोड निष्पादन की अनुमति देता था, जिसे उसने "गंभीर सुरक्षा भेद्यता" के रूप में वर्णित किया।
- भेद्यता को "शून्य-क्लिक" दोष के रूप में जाना जाता है, जिसका अर्थ है कि इसका फायदा उठाने के लिए किसी सहभागिता की आवश्यकता नहीं है।
- Google एंड्रॉइड ओपन सोर्स प्रोजेक्ट के माध्यम से OEM को समाधान प्रदान कर रहा है, लेकिन यह प्रत्येक फ़ोन निर्माता पर निर्भर होगा कि वह अपने स्मार्टफ़ोन पर अपडेट भेजे।
Google ने एंड्रॉइड में एक "गंभीर सुरक्षा भेद्यता" की खोज की है जो एक दूरस्थ हैकर के लिए आपके फोन पर कोड निष्पादित करना संभव बनाता है, यह दिसंबर में कहा गया था Android सुरक्षा बुलेटिन. कंपनी ने पहले से ही एंड्रॉइड फोन निर्माताओं को एक फिक्स प्रदान किया है, लेकिन प्रत्येक ओईएम को सुरक्षा दोष को ठीक करने के लिए अपना स्वयं का अपडेट भेजना होगा।
बग असाइन कर दिया गया है सीवीई-2023-40088 में राष्ट्रीय भेद्यता डेटाबेस, जो अधिक जानकारी प्रदान करता है। एनवीडी रिपोर्ट के मुताबिक, समस्या तब सामने आती है जब एंड्रॉइड फोन चलाने की कोशिश करता है कॉलबैक_थ्रेड_इवेंट
का com_android_bluetooth_btservice_AdapterService.cpp. इस क्रिया के दौरान, उपयोग-बाद-मुक्त भेद्यता के साथ मेमोरी का दूषित होना संभव है।अनिवार्य रूप से, यह समस्या एंड्रॉइड फोन तक पहुंच का कारण बनती है com_android_bluetooth_btservice_AdapterService.cpp सिस्टम की मेमोरी पहले ही निरस्त हो जाने के बाद प्राधिकरण के बिना। यह एक दूरस्थ हैकर को एक्सेस करने की अनुमति दे सकता है एंड्रॉयड फोन, बिना किसी उपयोगकर्ता कार्रवाई के कोड निष्पादित करना।
हालाँकि इस दोष को दूरस्थ रूप से निष्पादित किया जा सकता है, यह ध्यान देने योग्य है कि इसे काम करने के लिए संभावित हमलावर को आपके अपेक्षाकृत करीब होना होगा। इसका उपयोग वाई-फाई, ब्लूटूथ या एनएफसी वायरलेस कनेक्शन के माध्यम से किया जा सकता है।
Google ने Android संस्करण 11, 12, 12L, 13 और नवीनतम के लिए एक समाधान भेजा है एंड्रॉइड 14 के माध्यम से एंड्रॉइड ओपन सोर्स प्रोजेक्ट. संभवतः, इसका मतलब यह है कि उन संस्करणों के एंड्रॉइड फ़ोन बग से प्रभावित हैं। चूंकि यह समस्या बिना किसी उपयोगकर्ता इंटरैक्शन की आवश्यकता के दूरस्थ कोड निष्पादन की अनुमति देती है, यह सबसे गंभीर प्रकार की सुरक्षा कमजोरियों में से एक है।
न तो Google और न ही NVD यह निर्दिष्ट करता है कि बग का जंगल में सक्रिय रूप से शोषण किया गया है या नहीं। आमतौर पर, यह तब कहा जाएगा जब किसी सुरक्षा खामी का फायदा उठाया गया हो, लेकिन हम निश्चित रूप से नहीं जानते हैं। Google ने भेद्यता के लिए कोई और संदर्भ नहीं जोड़ा, जिसकी अपेक्षा की जा सकती है। कंपनी संभवतः तब तक अधिक जानकारी नहीं देगी जब तक कि समस्या का समाधान नहीं हो जाता और अधिकांश सक्रिय डिवाइस अपडेट नहीं हो जाते।
हालाँकि, चूंकि पैच AOSP के माध्यम से जारी किया जाएगा, इसलिए आपको तुरंत कोई अपडेट नहीं दिखाई देगा। अपडेट अगले कुछ दिनों में भेज दिया जाएगा, लेकिन प्रत्येक Android OEM को उसके बाद सुधार भेजना होगा। पिक्सेल फ़ोन पैच प्राप्त करने वाले पहले व्यक्ति हो सकते हैं, लेकिन अन्य ब्रांडों के लिए समयसीमा भिन्न हो सकती है।
इस समस्या की गंभीरता को ध्यान में रखते हुए, यदि आप एंड्रॉइड स्मार्टफोन का उपयोग करते हैं तो इस महीने सुरक्षा अपडेट पर नज़र रखें।