Šį mėnesį „Android“ saugos naujinimai pataiso 46 spragas, įskaitant didelio sunkumo nuotolinį kodo vykdymą (RCE), naudojamą tikslinėse atakose.
Nulinė diena, pažymėta kaip CVE-2024-36971, yra naudojimas po nemokamo (UAF) silpnumo Linux branduolio tinklo maršruto valdyme. Norint sėkmingai išnaudoti, reikia sistemos vykdymo privilegijų ir leidžia keisti tam tikrų tinklo jungčių elgesį.
„Google“ teigia, kad „yra požymių, kad CVE-2024-36971 gali būti ribotai, tikslingai išnaudojamas“, o grėsmės veikėjai gali išnaudoti savavališką kodo vykdymą be vartotojo sąveikos nepataisytuose įrenginiuose.
Clémentas Lecigne'as, saugumo tyrinėtojas iš „Google“ grėsmių analizės grupės (TAG), buvo pažymėtas kaip tas, kuris atrado ir pranešė apie šį nulinės dienos pažeidžiamumą.
Nors „Google“ dar nepateikė išsamios informacijos apie tai, kaip ši klaida išnaudojama ir koks grėsmės veiksnys slypi už atakų, „Google TAG“ saugos tyrinėtojai dažnai nustato ir atskleidžia nulines dienas, naudojamas valstybės remiamoms stebėjimo programinės įrangos atakoms, nukreiptoms į aukšto lygio asmenis.
„Šių problemų šaltinio kodo pataisos bus išleistos „Android Open Source Project“ (AOSP) saugykloje per ateinančias 48 valandas“, – aiškinama patarime.
Anksčiau šiais metais „Google“ pataisė dar vieną nulinę dieną, kuri buvo panaudota atakoms: didelio privilegijų padidinimo (EoP) trūkumą „Pixel“ programinėje įrangoje, kurią „Google“ atsekė kaip CVE-2024-32896, o „GrapheneOS“ – CVE-2024-29748. ir pranešė apie trūkumą).
Teismo ekspertizės įmonės pasinaudojo šiuo pažeidžiamumu, siekdamos atrakinti „Android“ įrenginius be PIN kodo ir gauti prieigą prie saugomų duomenų.
„Google“ išleido du rugpjūčio mėn. saugos naujinimų pataisų rinkinius – 2024-08-01 ir 2024-08-05 saugos pataisų lygius. Pastarasis apima visus saugos pataisymus iš pirmojo rinkinio ir papildomus pataisymus trečiųjų šalių uždarojo kodo ir branduolio komponentams, pvz., kritinį pažeidžiamumą (CVE-2024-23350) „Qualcomm“ uždarojo kodo komponente.
Pažymėtina, kad ne visiems „Android“ įrenginiams gali prireikti saugos spragų, taikomų 2024-08-05 pataisos lygiui. Įrenginių pardavėjai taip pat gali teikti pirmenybę pradinio pataisos lygio diegimui, kad supaprastintų naujinimo procesą. Tačiau tai nebūtinai rodo padidėjusią galimo išnaudojimo riziką.
Svarbu pažymėti, kad nors „Google Pixel“ įrenginiai kas mėnesį gauna saugos naujinimus iš karto po išleidimo, kitiems gamintojams gali prireikti šiek tiek laiko, kol išleis pataisas. Vėlavimas reikalingas papildomam saugos pataisų testavimui, siekiant užtikrinti suderinamumą su įvairiomis aparatinės įrangos konfigūracijomis.