Google v pondělí oznámil, že objevil kritickou bezpečnostní chybu ve svém operačním systému Android, který potenciálně umožňuje útočníkovi vzdáleně spouštět kód na zařízení „bez nutnosti dalších oprávnění k jeho spuštění“. Problém byl přidělen identifikátor CVE-2023-40088. V nejbližší době společnost vydá bezpečnostní aktualizaci, která by měla tento problém vyřešit.
Google nezveřejňuje podrobnosti o zranitelnosti označené jako CVE-2023-40088. Je známo, že patří do kategorie Systém a zdá se, že jej lze použít ke vzdálenému stahování a instalaci do zařízení přes Wi-Fi, Bluetooth nebo NFC škodlivý software bez vědomí vlastníka gadgetu.
Přestože lze tuto zranitelnost zneužít na dálku, stojí za zmínku, že útočník musí být relativně blízko zařízení potenciální oběti.
Google neuvedl, jak byla zranitelnost objevena, ani zda existují případy jejího zneužití útočníky. Společnost v nadcházejících dnech vydá záplaty pro CVE-2023-40088 pro Android 11, 12, 12L, 13 a nejnovější Android 14 prostřednictvím projektu Android Open Source. Výrobci zařízení pak mohou opravu distribuovat prostřednictvím svých aktualizačních kanálů. Aktualizace bude k dispozici výrobcům zařízení během několika příštích dnů. Poté bude muset každý OEM zařízení Android odeslat opravu svým uživatelům. Telefony Google Pixel může být první, kdo opravu obdrží, ale časové osy se mohou u jiných značek lišit.
V poznámkách k prosincovému bezpečnostnímu bulletinu Google také uvedl, že objevil několik dalších kritických zranitelností v mobilním operačním systému Android, které vedou ke zvýšení oprávnění a zveřejnění informací ovlivňujících komponenty. Android Rámec a systém. Vzhledem k závažnosti problémů se majitelům zařízení Android doporučuje, aby sledovali prosincové bezpečnostní aktualizace a nainstalovali je, jakmile budou k dispozici.
Přečtěte si také: