Bản cập nhật Android tháng 12 sửa lỗi RCE không cần nhấp chuột

Ngày 4 tháng 12, Google đã thông báo rằng bản cập nhật bảo mật Android tháng 12 năm 2023 giải quyết 85 lỗ hổng, bao gồm cả lỗi thực thi mã từ xa (RCE) không cần nhấp chuột ở mức độ nghiêm trọng.


Lỗi được theo dõi là CVE-2023-40088, lỗi RCE không cần nhấp chuột đã được tìm thấy trong thành phần Hệ thống của Android và không yêu cầu đặc quyền bổ sung để khai thác.


Mặc dù Google vẫn chưa tiết lộ liệu những kẻ tấn công có nhắm mục tiêu vào lỗ hổng bảo mật này hay không, nhưng các tác nhân đe dọa có thể khai thác nó để thực thi mã tùy ý mà không cần sự tương tác của người dùng.


Khuyến cáo đã giải thích: “Vấn đề nghiêm trọng nhất trong số này là lỗ hổng bảo mật nghiêm trọng trong thành phần Hệ thống. Lỗ hổng này có thể dẫn đến việc thực thi mã từ xa (gần/liền kề) mà không cần đặc quyền thực thi bổ sung, không cần tương tác của người dùng để khai thác”.


“Đánh giá mức độ nghiêm trọng dựa trên tác động mà việc khai thác lỗ hổng có thể gây ra trên thiết bị bị ảnh hưởng, giả sử như các biện pháp giúp giảm nhẹ nền tảng và dịch vụ bị tắt để phát triển hoặc nếu vượt qua thành công.”


Thêm 84 lỗ hổng bảo mật đã được vá trong tháng này, với ba trong số đó (CVE-2023-40077, CVE-2023-40076 và CVE-2023-45866) lỗi nâng cao đặc quyền và tiết lộ thông tin ở mức độ nghiêm trọng trong các thành phần Hệ thống và Khung Android.


Lỗ hổng nghiêm trọng thứ tư (CVE-2022-40507) đã được xử lý trong các thành phần nguồn đóng của Qualcomm.


Lỗ hổng zero-day trên Android bị khai thác trong các cuộc tấn công

Hai tháng trước, vào tháng 10, Google cũng đã vá hai lỗi bảo mật (CVE-2023-4863 và CVE-2023-4211) bị khai thác dưới dạng zero-days, lỗi trước trong thư viện nguồn mở libwebp và lỗi sau ảnh hưởng đến nhiều Arm Mali Các phiên bản trình điều khiển GPU được sử dụng trong nhiều mẫu thiết bị Android.


Bản cập nhật bảo mật Android tháng 9 đã xử lý một lỗ hổng zero-day khác (CVE-2023-35674) được khai thác chủ động trong thành phần Android Framework cho phép kẻ tấn công nâng cao đặc quyền mà không yêu cầu đặc quyền thực thi bổ sung hoặc tương tác của người dùng.


Như thường lệ, Google đã phát hành hai bộ bản vá với tháng cập nhật bảo mật tháng 12, được xác định là các cấp độ bảo mật 2023-12-01 và 2023-12-05. Bản thứ hai bao gồm tất cả các bản sửa lỗi từ bộ đầu tiên và các bản vá bổ sung cho các thành phần hạt nhân và nguồn đóng của bên thứ ba. Đáng chú ý, các bản vá khác này có thể không cần thiết đối với tất cả các thiết bị Android.


Các nhà cung cấp thiết bị có thể ưu tiên triển khai mức bản vá ban đầu để hợp lý hóa quy trình cập nhật, mặc dù điều này vốn không nhìn thấy nguy cơ bị khai thác tiềm ẩn cao.


Cũng cần lưu ý rằng, ngoại trừ các thiết bị Google Pixel nhận được bản cập nhật bảo mật hàng tháng ngay sau khi phát hành, các nhà sản xuất khác sẽ cần một thời gian trước khi tung ra các bản vá. Điều này cần thiết để thử nghiệm bổ sung các bản vá bảo mật nhằm đảm bảo không có sự không tương thích với các cấu hình phần cứng khác nhau.

Nguồn: bleepingcomputer.com

Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Nguồn : https://www.john-partners.us/ban-cap-nhat-android-thang-12-sua-loi-rce-khong-can-nhap-chuot


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »