У смартфонах Android виявили критичну вразливість, що дозволяє зламувати пристрої на відстані

Спеціалісти Google повідомили про виявлення критичної проблеми в операційній системі Android. Вразливість віддаленого виконання коду (Remote Code Execution) дозволяє зловмиснику атакувати пристрій «без наявності додаткових привілеїв для доступу».

Помилка Zero-Click, яка відстежується як CVE-2023−40 088, була виявлена в системному компоненті Android і не вимагає додаткових привілеїв для використання. Google не розкриває подробиць про CVE-2023−40 088. Втім, відомо, що вразливість належить до категорії System і може бути використана для віддаленого завантаження та встановлення на пристрій через Wi-Fi, Bluetooth або NFC зловмисного ПЗ. Хоча вказаною вразливістю можна скористатися віддалено, зловмиснику необхідно бути відносно близько до пристрою потенційної жертви.

У грудні також було виправлено ще 84 вразливості безпеки, три з яких (CVE-2023−40 077, CVE-2023−40 076 та CVE-2023−45 866) пов’язані з критичними помилками підвищення привілеїв та розкриття інформації в компонентах Android Framework та системи. Четверта критична вразливість (CVE-2022−40 507 CVSS: 7.8) була усунена у компонентах Qualcomm із закритим вихідним кодом.

Як завжди, Google випустила два набори виправлень у грудневому оновленні безпеки, позначених як рівні безпеки 2023−12−01 та 2023−12−05. Останній включає всі виправлення з першого набору і додаткові виправлення для сторонніх компонентів із закритим вихідним кодом і компонентів ядра. Примітно, що інші виправлення можуть знадобитися не всім Android-пристроям.

Постачальники пристроїв можуть віддати пріоритет розгортанню початкового рівня виправлень, щоб спростити процедуру оновлення, хоча це не передбачає підвищеного ризику потенційної експлуатації.

Нагадаємо — наприкінці жовтня дослідники безпеки Google з’ясували, що підтримувані урядом росії хакери експлуатують нещодавно виправлену вразливість у WinRAR, популярній утиліті-архіваторі для Windows.

Вразливість WinRAR, вперше виявлена компанією Group-IB, дозволяє зловмисникам приховувати шкідливі скрипти в архівних файлах, які маскуються під зображення або текстові документи. Спеціалісти з безпеки пояснили, що цей недолік використовувався як нульовий день — оскільки розробник не мав часу на виправлення помилки до того, як вона була експлуатована.