Bản cập nhật tháng 4/2023 của Android vá hai lỗ hổng RCE nghiêm trọng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
85
553 bài viết
Bản cập nhật tháng 4/2023 của Android vá hai lỗ hổng RCE nghiêm trọng
WhiteHat Team
Google vừa phát hành bản cập nhật tháng 4 năm 2023 cho nền tảng hệ điều hành di động để giải quyết 69 lỗ hổng mới ảnh hưởng đến các thiết bị Android, trong đó có 6 lỗ hổng được đánh giá nghiêm trọng.

Các lỗ hổng ảnh hưởng đến nhiều thành phần Android, bao gồm framework, hệ thống, Google Play và kernel, cũng như các thành phần Arm, Imagination Technologies, MediaTek, Unisoc và Qualcomm, bao gồm các thành phần nguồn đóng.

Anh-whitehat-vn (2).png

Dưới đây là danh sách một số lỗ hổng cần lưu ý:
  • Lỗ hổng nghiêm trọng trong thành phần hệ thống, có thể cho phép thực thi mã từ xa: CVE-2023-21085 và CVE-2023-21096.
  • Lỗ hổng trong framework, có thể cho phép leo thang đặc quyền: CVE-2023-21081, CVE-2023-21088, CVE-2023-21089, CVE-2023-21092, CVE-2023-21094, CVE-2023-21097, CVE-2023-21098, CVE-2023-21087, CVE -2023-21090, CVE-2023-20950.
  • Lỗ hổng trong framework, có thể cho phép từ chối dịch vụ: CVE-2023-21087, CVE-2023-21090.
  • Lỗ hổng trong thành phần hệ thống, có thể cho phép leo thang đặc quyền: CVE-2022-20463, CVE-2023-20967, CVE-2023-21084, CVE-2023-21086, CVE-2023-21093, CVE-2023-21099, CVE-2023-21100.
  • Lỗ hổng trong thành phần hệ thống, có thể cho phép tiết lộ thông tin: CVE-2022-20471, CVE-2023-20909, CVE-2023-20935, CVE-2023-21080, CVE-2023-21082, CVE-2023-21083.
  • Lỗ hổng trong thành phần hệ thống, có thể cho phép từ chối dịch vụ: CVE-2023-21091.
Google cũng cho biết không có lỗ hổng nào đang bị khai thác trên thực tế. Các thiết bị Pixel sẽ nhận được bản cập nhật hoàn chỉnh trong những ngày tới, hoặc người dùng có thể tải xuống bản vá trực tiếp từ trang web dành cho nhà phát triển của Google.

Người dùng được khuyến cáo:
  • Rà soát hệ thống bị ảnh hưởng và cập nhật các bản vá của Google.
  • Rà quét lỗ hổng thường xuyên hơn, sử dụng công cụ quét lỗ hổng tuân thủ chuẩn SCAP. Thực hiện cả quét có xác thực và không xác thực.
  • Người dùng không nên truy cập vào các trang web không đáng tin cậy, đặc biệt là các email hoặc tệp đính kèm.
Kích hoạt tính năng chống khai thác trên các tài sản và phần mềm doanh nghiệp nếu có thể, như Apple® System Integrity Protection (SIP) và Gatekeeper™.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Microsoft vá lỗi trong Outlook do bản cập nhật tháng 12 gây ra
  • VMware phát hành bản vá cho nhiều lỗ hổng nghiêm trọng trong giải pháp SD-WAN
  • Cảnh báo backdoor trong công cụ XZ được sử dụng hầu hết ở các bản phân phối Linux
  • Synology phát hành bản vá cho các lỗ hổng nghiêm trọng trong phần mềm Surveillance Station
  • Atlassian phát hành bản vá cho lỗ hổng có điểm CVSS 10
  • Fortinet tung bản vá lỗ hổng chiếm quyền điều khiển từ xa
    • Bên trên