-
06/04/2022
-
24
-
41 bài viết
Bản cập nhật Android tháng 12 sửa lỗi RCE nghiêm trọng
Google đã công bố bản cập nhật bảo mật Android tháng 12 năm 2023 nhằm giải quyết 85 lỗ hổng, bao gồm cả lỗ hổng thực thi mã từ xa (RCE) mà không cần bất kỳ sự tương tác nào của người dùng.
Lỗ hổng được theo dõi có mã định danh là CVE-2023-40088 cho phép thực thi mã từ xa, tồn tại trong các thành phần hệ thống của Android. Không những không cần sự tương tác của người dùng, lỗ hổng này cũng không yêu cầu bất kỳ đặc quyền bổ sung nào để có thể khai thác.
Mặc dù công ty vẫn chưa tiết lộ liệu những kẻ tấn công có đang nhắm mục tiêu vào việc khai thác lỗ hổng này hay không, nhưng kẻ tấn công có thể khai thác triệt để.
Khuyến cáo cho biết: "Mức độ nghiêm trọng của một lỗ hổng được đánh giá dựa trên tác động mà việc khai thác lỗ hổng này có thể gây ra trên thiết bị bị ảnh hưởng, trong trường hợp các dịch vụ ngăn chặn đã bị tắt."
Tháng này có thêm 84 lỗ hổng đã được vá, trong đó 3 lỗ hổng (CVE-2023-40077, CVE-2023-40076 và CVE-2023-45866) là lỗi leo thang đặc quyền và tiết lộ thông tin ở mức độ nghiêm trọng trong các thành phần của hệ thống Android.
Lỗ hổng nghiêm trọng thứ tư (CVE-2022-40507) đã được xử lý trong các thành phần nguồn đóng của Qualcomm.
Bản cập nhật bảo mật Android tháng 9 đã xử lý một lỗ hổng zero-day khác (CVE-2023-35674) được khai thác tích cực trong thành phần Android Framework cho phép kẻ tấn công leo thang đặc quyền mà không cần bất kỳ sự tương tác nào của người dùng cũng như các đặc quyền bổ sung.
Như thường lệ, Google đã phát hành hai bộ bản vá trong tháng 12, được định danh lần lượt là 2023-12-01 và 2023-12-05. Bản vá thứ hai đã bao gồm tất cả các sửa đổi từ bản đầu tiên và cập nhật thêm các bản vá bổ sung cho các thành phần hạt nhân cũng như các thành phần nguồn đóng của bên thứ ba. Đáng chú ý, các bản vá khác này có thể không cần thiết đối với tất cả các thiết bị Android.
Các nhà cung cấp thiết bị có thể ưu tiên triển khai bản vá đầu tiên để hợp lý hóa quy trình cập nhật và điều này cũng không cho thấy nguy cơ bị khai thác tiềm ẩn cao.
Ngoại trừ các thiết bị Google Pixel sẽ nhận được bản cập nhật bảo mật hàng tháng ngay sau khi phát hành, các nhà sản xuất khác sẽ cần một khoảng thời gian trước khi tung ra các bản vá. Sự chậm trễ này là cần thiết để thử nghiệm bổ sung cho các bản vá bảo mật nhằm đảm bảo không có sự sai lệch đối với các cấu hình phần cứng khác nhau.
Lỗ hổng được theo dõi có mã định danh là CVE-2023-40088 cho phép thực thi mã từ xa, tồn tại trong các thành phần hệ thống của Android. Không những không cần sự tương tác của người dùng, lỗ hổng này cũng không yêu cầu bất kỳ đặc quyền bổ sung nào để có thể khai thác.
Mặc dù công ty vẫn chưa tiết lộ liệu những kẻ tấn công có đang nhắm mục tiêu vào việc khai thác lỗ hổng này hay không, nhưng kẻ tấn công có thể khai thác triệt để.
Khuyến cáo cho biết: "Mức độ nghiêm trọng của một lỗ hổng được đánh giá dựa trên tác động mà việc khai thác lỗ hổng này có thể gây ra trên thiết bị bị ảnh hưởng, trong trường hợp các dịch vụ ngăn chặn đã bị tắt."
Tháng này có thêm 84 lỗ hổng đã được vá, trong đó 3 lỗ hổng (CVE-2023-40077, CVE-2023-40076 và CVE-2023-45866) là lỗi leo thang đặc quyền và tiết lộ thông tin ở mức độ nghiêm trọng trong các thành phần của hệ thống Android.
Lỗ hổng nghiêm trọng thứ tư (CVE-2022-40507) đã được xử lý trong các thành phần nguồn đóng của Qualcomm.
Lỗ hổng Zero-day trên Android bị khai thác trong các cuộc tấn công
Hai tháng trước, Google cũng đã vá hai lỗ hổng bảo mật (CVE-2023-4863 và CVE-2023-4211) bị khai thác dưới dạng Zero-day, lỗi đầu tiên tồn tại trong thư viện mã nguồn mở libwebp và lỗi thứ hai ảnh hưởng tới nhiều phiên bản ARM Mali GPU driver (là các trình điều khiển GPU được sử dụng trong nhiều mẫu thiết bị Android).Bản cập nhật bảo mật Android tháng 9 đã xử lý một lỗ hổng zero-day khác (CVE-2023-35674) được khai thác tích cực trong thành phần Android Framework cho phép kẻ tấn công leo thang đặc quyền mà không cần bất kỳ sự tương tác nào của người dùng cũng như các đặc quyền bổ sung.
Như thường lệ, Google đã phát hành hai bộ bản vá trong tháng 12, được định danh lần lượt là 2023-12-01 và 2023-12-05. Bản vá thứ hai đã bao gồm tất cả các sửa đổi từ bản đầu tiên và cập nhật thêm các bản vá bổ sung cho các thành phần hạt nhân cũng như các thành phần nguồn đóng của bên thứ ba. Đáng chú ý, các bản vá khác này có thể không cần thiết đối với tất cả các thiết bị Android.
Các nhà cung cấp thiết bị có thể ưu tiên triển khai bản vá đầu tiên để hợp lý hóa quy trình cập nhật và điều này cũng không cho thấy nguy cơ bị khai thác tiềm ẩn cao.
Ngoại trừ các thiết bị Google Pixel sẽ nhận được bản cập nhật bảo mật hàng tháng ngay sau khi phát hành, các nhà sản xuất khác sẽ cần một khoảng thời gian trước khi tung ra các bản vá. Sự chậm trễ này là cần thiết để thử nghiệm bổ sung cho các bản vá bảo mật nhằm đảm bảo không có sự sai lệch đối với các cấu hình phần cứng khác nhau.
Nguồn: Bleeping Computer
Chỉnh sửa lần cuối bởi người điều hành: