Bendrovė “Google” paskelbė, kad jos operacinėje sistemoje “Android” aptikta svarbi pažeidžiamoji vieta, įvardyta kaip CVE-2023-40088. Bendrovė atskleidė ribotą informaciją apie pažeidžiamumą, tačiau patikslino, kad tai yra sisteminis pažeidžiamumas. Pažeidžiamumas kelia potencialią grėsmę, nes leidžia nuotoliniu būdu vykdyti kenkėjišką kodą įrenginiuose nereikalaujant papildomų privilegijų.
Koks yra aptikto pažeidžiamumo pavojus?
CVE-2023-40088 pobūdis rodo, kad ja galima pasinaudoti norint nuotoliniu būdu atsisiųsti ir įdiegti kenkėjišką programinę įrangą į įrenginį įvairiais kanalais, pavyzdžiui, per “Wi-Fi”, “Bluetooth” ar NFC, be įrenginio savininko žinios. Pažeidžiamumas aptiktas callback_thread_event of com_android_bluetooth_btservice_AdapterService.cpp sisteminiame faile.
Bendrovė “Google” neatskleidė pažeidžiamumo aptikimo metodo ir nepranešė apie jo panaudojimo praktikoje atvejus. Siekdama išspręsti šią problemą, bendrovė artimiausiomis dienomis planuoja išleisti “Android” 11, 12, 12L, 13 ir naujausios “Android” 14 versijų saugumo atnaujinimus, kurie yra “Android Open Source” projekto dalis.
Po to prietaisų gamintojai platins pataisas per savo atitinkamus naujinimų kanalus. Nors “Google Pixel” telefonai pataisas gali gauti pirmieji, kitų prekės ženklų telefonų tvarkaraštis gali skirtis.
Atsižvelgiant į šių problemų rimtumą, “Android” įrenginių savininkams primygtinai rekomenduojama atidžiai stebėti gruodžio mėnesio saugumo atnaujinimus ir nedelsiant juos įdiegti, kai tik jie pasirodys. Šia atsargumo priemone siekiama sumažinti galimą riziką, susijusią su padidintais leidimais ir informacijos atskleidimu.