ตามรายงานของ The Hacker News ในบรรดาช่องโหว่ของ Android ที่ Google แพตช์แล้ว มีสามช่องโหว่ที่ถูกนำไปใช้ในการโจมตีแบบเจาะจงเป้าหมาย ช่องโหว่หนึ่งมีรหัส CVE-2023-26083 ซึ่งเป็นการรั่วไหลของหน่วยความจำที่ส่งผลกระทบต่อไดรเวอร์ GPU Arm Mali สำหรับชิป Bifrost, Avalon และ Valhall
ช่องโหว่นี้ถูกใช้ประโยชน์ในการโจมตีโดยติดตั้งสปายแวร์บนอุปกรณ์ Samsung ในเดือนธันวาคม 2022 ถือว่ามีความร้ายแรงเพียงพอที่หน่วยงานความปลอดภัยโครงสร้างพื้นฐานและความปลอดภัยไซเบอร์ (CISA - US) จะออกคำสั่งแก้ไขให้กับหน่วยงานของรัฐบาลกลางในเดือนเมษายน 2023
ช่องโหว่ร้ายแรงอีกประการหนึ่งคือ CVE-2021-29256 ซึ่งเป็นช่องโหว่ที่มีความรุนแรงสูง ซึ่งส่งผลกระทบต่อไดรเวอร์เคอร์เนล GPU ของ Bifrost และ Midgard Arm Mali บางเวอร์ชัน ช่องโหว่นี้ทำให้ผู้ใช้ที่ไม่มีสิทธิ์เข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาตและยกระดับสิทธิ์ไปยังระดับสูงสุดได้
ช่องโหว่ที่สามที่ถูกโจมตีคือ CVE-2023-2136 ซึ่งเป็นช่องโหว่ระดับความรุนแรงสูงใน Skia ซึ่งเป็นไลบรารีกราฟิก 2 มิติแบบโอเพนซอร์สข้ามแพลตฟอร์มของ Google เดิมทีช่องโหว่นี้ถูกระบุว่าเป็นช่องโหว่แบบ zero-day ในเบราว์เซอร์ Chrome ที่ทำให้ผู้โจมตีจากระยะไกลสามารถหลบหนีจากแซนด์บ็อกซ์และนำโค้ดไปใช้งานบนอุปกรณ์ Android ได้จากระยะไกล
แพตช์ความปลอดภัย Android ประจำเดือนกรกฎาคมของ Google ยังได้แก้ไขช่องโหว่สำคัญ CVE-2023-21250 ซึ่งส่งผลกระทบต่อส่วนประกอบของระบบ Android ที่อาจอนุญาตให้มีการรันโค้ดจากระยะไกลโดยไม่ต้องมีการโต้ตอบจากผู้ใช้หรือได้รับสิทธิ์เพิ่มเติม
ข้อบกพร่องที่ค้นพบนั้นน่าเป็นห่วงเนื่องจากจะส่งผลกระทบต่ออุปกรณ์ Android รุ่นเก่าด้วยซ้ำ
การอัปเดตความปลอดภัยเหล่านี้กำลังดำเนินการในสองระดับ แพตช์แรกซึ่งเผยแพร่เมื่อวันที่ 1 กรกฎาคมมุ่งเน้นไปที่ส่วนประกอบหลักของ Android โดยแก้ไขข้อบกพร่องด้านความปลอดภัย 22 รายการในส่วนประกอบเฟรมเวิร์กและระบบ แพตช์ที่สองซึ่งเผยแพร่เมื่อวันที่ 5 กรกฎาคมจะแก้ไขส่วนประกอบเคอร์เนลและส่วนประกอบแบบปิด โดยแก้ไขช่องโหว่ 20 รายการในส่วนประกอบเคอร์เนล ชิป Arm และเทคโนโลยีการถ่ายภาพในโปรเซสเซอร์ MediaTek และ Qualcomm
ผลกระทบของช่องโหว่อาจขยายออกไปเกินขอบเขตของเวอร์ชัน Android ที่รองรับ (11, 12 และ 13) อย่างไรก็ตาม อาจส่งผลกระทบต่อเวอร์ชันเก่าของระบบปฏิบัติการที่ไม่ได้รับการสนับสนุนอย่างเป็นทางการอีกต่อไป
Google ยังได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ 14 รายการในส่วนประกอบของอุปกรณ์ Pixel โดยช่องโหว่สำคัญ 2 รายการในจำนวนนี้เปิดช่องให้ผู้ใช้เข้าถึงสิทธิ์การใช้งาน (elevation of privilege) และการโจมตีแบบปฏิเสธการให้บริการ (denial-of-service attack)
ลิงค์ที่มา
การแสดงความคิดเห็น (0)