Ką tu turi žinoti
- „Google“ aptiko „Android“ saugos trūkumą, leidžiantį nuotoliniu būdu vykdyti kodą, kurį apibūdino kaip „kritinį saugumo pažeidžiamumą“.
- Pažeidžiamumas yra vadinamas „nulio paspaudimo“ trūkumu, o tai reiškia, kad jai nereikia jokios sąveikos.
- „Google“ teikia originalios įrangos gamintojams pataisymą per „Android“ atvirojo kodo projektą, tačiau kiekvienas telefonų gamintojas turės pateikti savo išmaniųjų telefonų naujinimus.
„Google“ aptiko „svarbų pažeidžiamumą“ sistemoje „Android“, leidžiantį nuotoliniam įsilaužėliui paleisti kodą jūsų telefone, sakoma gruodžio mėn. Android saugos biuletenis. Bendrovė jau pateikė „Android“ telefonų gamintojams pataisymą, tačiau kiekvienas originalios įrangos gamintojas turės išsiųsti savo naujinį, kad ištaisytų saugos trūkumą.
Klaida priskirta CVE-2023-40088 viduje Nacionalinė pažeidžiamumo duomenų bazė, kuriame pateikiama daugiau informacijos. Remiantis NVD ataskaita, problema iškyla, kai „Android“ telefonas bando paleisti a callback_thread_event
apie com_android_bluetooth_btservice_AdapterService.cpp. Atliekant šį veiksmą, gali būti, kad atmintis gali būti sugadinta dėl naudojimo po nemokamo pažeidžiamumo.Iš esmės dėl šios problemos Android telefonai pasiekia prieigą com_android_bluetooth_btservice_AdapterService.cpp be leidimo, kai sistemos atmintis jau buvo atlaisvinta. Tai gali leisti nuotoliniam įsilaužėliui pasiekti Android telefonas, vykdo kodą be jokių vartotojo veiksmų.
Nors šį trūkumą galima atlikti nuotoliniu būdu, verta paminėti, kad galimas užpuolikas turi būti gana arti jūsų, kad jis veiktų. Jį galima išnaudoti per Wi-Fi, Bluetooth arba NFC belaidį ryšį.
„Google“ atsiuntė 11, 12, 12L, 13 ir naujausių „Android“ versijų pataisymą Android 14 per Android atvirojo kodo projektas. Tikėtina, kad tai reiškia, kad tų versijų „Android“ telefonai yra paveikti klaidos. Kadangi ši problema leidžia nuotoliniu būdu vykdyti kodą be vartotojo sąveikos, tai vienas iš sunkiausių saugos spragų tipų.
Nei Google, nei NVD nenurodo, ar klaida buvo aktyviai išnaudota gamtoje. Paprastai tai būtų nurodoma tuo atveju, jei buvo išnaudojamas saugumo trūkumas, bet mes tiksliai nežinome. „Google“ nepridėjo daugiau pažeidžiamumo konteksto, ko ir reikia tikėtis. Bendrovė greičiausiai nepateiks daugiau informacijos, kol problema nebus ištaisyta ir dauguma aktyvių įrenginių nebus atnaujinti.
Tačiau, kadangi pleistras bus išleistas per AOSP, naujinimo pamatysite ne iš karto. Atnaujinimas bus išsiųstas per kelias ateinančias dienas, bet po to kiekvienas „Android“ OĮG turi išsiųsti pataisą. „Pixel“ telefonai gali būti pirmieji, kurie gaus pataisą, tačiau kitų prekių ženklų terminai gali skirtis.
Atsižvelgdami į šios problemos rimtumą, šį mėnesį atkreipkite dėmesį į saugos naujinį, jei naudojate „Android“ išmanųjį telefoną.