Это самая опасная из 85 проблем, которые Google пытается исправить в декабрьском обновлении безопасности.
Google выпустила Для просмотра ссылки Войдиили Зарегистрируйся , которые устраняют 85 уязвимостей, включая критическую Zero-Click уязвимость удаленного выполнения кода (Remote Code Execution, RCE ).
Zero-Click ошибка, отслеживаемая как Для просмотра ссылки Войдиили Зарегистрируйся , была обнаружена в системном компоненте Android и не требует дополнительных привилегий для использования. Хотя компания еще не сообщила, воспользовались ли злоумышленники уязвимостью, они могут использовать недостаток для выполнения произвольного кода без взаимодействия с пользователем.
В декабре также были исправлены еще 84 уязвимости безопасности, три из которых (CVE-2023-40077, CVE-2023-40076 и CVE-2023-45866) связаны с критическими ошибками повышения привилегий и раскрытия информации в компонентах Android Framework и системы. Четвертая критическая уязвимость ( Для просмотра ссылки Войдиили Зарегистрируйся CVSS: 7.8) была устранена в компонентах Qualcomm с закрытым исходным кодом.
Как обычно, Google выпустила два набора исправлений в декабрьском обновлении безопасности, обозначенных как уровни безопасности 2023-12-01 и 2023-12-05. Последний включает в себя все исправления из первого набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и компонентов ядра. Примечательно, что другие исправления могут потребоваться не всем устройствам Android.
Поставщики устройств могут отдать приоритет развертыванию начального уровня исправлений, чтобы упростить процедуру обновления, хотя это по своей сути не предполагает повышенного риска потенциальной эксплуатации.
Также важно отметить, что, за исключением устройств Google Pixel, которые получают ежемесячные обновления безопасности сразу после выпуска, другим производителям потребуется некоторое время перед выпуском исправлений. Такая задержка необходима для дополнительного тестирования исправлений безопасности, чтобы убедиться в отсутствии несовместимости с различными конфигурациями оборудования.
Google выпустила Для просмотра ссылки Войди
Zero-Click ошибка, отслеживаемая как Для просмотра ссылки Войди
В декабре также были исправлены еще 84 уязвимости безопасности, три из которых (CVE-2023-40077, CVE-2023-40076 и CVE-2023-45866) связаны с критическими ошибками повышения привилегий и раскрытия информации в компонентах Android Framework и системы. Четвертая критическая уязвимость ( Для просмотра ссылки Войди
Как обычно, Google выпустила два набора исправлений в декабрьском обновлении безопасности, обозначенных как уровни безопасности 2023-12-01 и 2023-12-05. Последний включает в себя все исправления из первого набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и компонентов ядра. Примечательно, что другие исправления могут потребоваться не всем устройствам Android.
Поставщики устройств могут отдать приоритет развертыванию начального уровня исправлений, чтобы упростить процедуру обновления, хотя это по своей сути не предполагает повышенного риска потенциальной эксплуатации.
Также важно отметить, что, за исключением устройств Google Pixel, которые получают ежемесячные обновления безопасности сразу после выпуска, другим производителям потребуется некоторое время перед выпуском исправлений. Такая задержка необходима для дополнительного тестирования исправлений безопасности, чтобы убедиться в отсутствии несовместимости с различными конфигурациями оборудования.
- Источник новости
- www.securitylab.ru