Android и 33 причины для беспокойства: 0day уже в руках хакеров

Google выпустила срочное обновление безопасности для Android, целью которого является устранение 33 уязвимостей. Особое внимание привлекает уязвимость нулевого дня CVE-2023-35674, которая уже стала объектом целенаправленных атак в сети.

Некоторые из устранённых недостатков включают следующие:

1. CVE-2023-35674: 0day-уязвимость высокого уровня опасности в Android Framework, которая позволяет злоумышленнику повышать привилегии без необходимости взаимодействия с пользователем. Google подтвердила, что ошибка уже эксплуатируется в ограниченном масштабе.
2. CVE-2023-35658, CVE-2023-35673, CVE-2023-35681: критические уязвимости в компоненте Android System, способные привести к удаленному выполнению кода (Remote Code Execution, RCE) без дополнительных прав и взаимодействия с пользователем.
3. CVE-2023-28581: критическая уязвимость в закрытых компонентах Qualcomm, связанная с повреждением памяти во встроенном ПО WLAN. Недостаток может позволить удаленному киберпреступнику выполнить произвольный код, прочитать конфиденциальную информацию или вызвать сбои системы.

Google настоятельно рекомендует всем пользователям как можно скорее обновить свои устройства до последней доступной версии Android.

Как обычно, Google предложила два набора исправлений: один базовый (2023-09-01) и один расширенный (2023-09-05). Расширенный набор включает в себя все исправления из базового, а также дополнительные исправления для сторонних компонентов с закрытым исходным кодом и компонентов ядра, которые могут не относиться ко всем устройствам Android. Поставщики устройств могут опционально развернуть базовый набор патчей в первую очередь, чтобы ускорить процесс обновления.

Обновления безопасности за сентябрь ориентированы на версии Android 11, 12 и 13. Пользователи устаревших версий (Android 10 и ниже) должны рассмотреть возможность перехода на поддерживаемые версии или использования сторонних прошивок на базе актуальной версии AOSP .