Google ilmoitti maanantaina havainneensa käyttöjärjestelmässään kriittisen tietoturva-aukon Android, jonka avulla hyökkääjä voi mahdollisesti suorittaa koodin etänä laitteella "ilman lisäoikeuksia sen suorittamiseen". Ongelmalle on määritetty tunniste CVE-2023-40088. Lähitulevaisuudessa yhtiö julkaisee tietoturvapäivityksen, jonka pitäisi korjata tämä ongelma.
Google ei julkaise tietoja haavoittuvuudesta, joka on tunnistettu nimellä CVE-2023-40088. Sen tiedetään kuuluvan Järjestelmä-luokkaan ja näyttää siltä, että sitä voidaan käyttää etälataukseen ja -asennukseen laitteeseen Wi-Fi-, Bluetooth- tai NFC haittaohjelmia gadgetin omistajan tietämättä.
Vaikka tätä haavoittuvuutta voidaan hyödyntää etänä, on syytä huomata, että hyökkääjän on oltava suhteellisen lähellä mahdollisen uhrin laitetta.
Google ei kertonut, miten haavoittuvuus löydettiin tai onko olemassa tapauksia, joissa hyökkääjät ovat käyttäneet sitä hyväkseen. Yritys julkaisee lähipäivinä korjaustiedostoja CVE-2023-40088:lle Android 11, 12, 12L, 13 ja uusimmille Android 14:lle projektin kautta. Android Avoin lähdekoodi. Laitevalmistajat voivat sitten jakaa korjaustiedoston päivityskanaviensa kautta. Päivitys toimitetaan laitevalmistajille lähipäivinä. Sen jälkeen jokaisen Android-laitteen OEM:n on lähetettävä korjaustiedosto käyttäjilleen. Puhelimet Google Pixel voi olla ensimmäinen, joka saa korjauksen, mutta aikajanat voivat vaihdella muiden merkkien osalta.
Joulukuun tietoturvatiedotteen muistiinpanoissa Google ilmoitti myös havainneensa Android-mobiilikäyttöjärjestelmästä useita muita kriittisiä haavoittuvuuksia, jotka johtavat käyttöoikeuksien korottamiseen ja komponentteihin vaikuttaviin tietojen paljastamiseen. Android Kehys ja järjestelmä. Koska ongelmat ovat vakavia, Android-laitteiden omistajia kehotetaan pitämään silmällä joulukuun tietoturvapäivityksiä ja asentamaan ne heti, kun ne tulevat saataville.
Lue myös: