Actualizările Android din Octombrie remediază zero-day-uri exploatate în atacuri

Google a publicat actualizările de securitate pentru Android din octombrie 2023, care remediază 54 de vulnerabilități, inclusiv două cunoscute ca fiind exploatate în mod activ.

Cele două vulnerabilități exploatate sunt CVE-2023-4863 și CVE-2023-4211.

CVE-2023-4863 este o vulnerabilitate de tip buffer overflow în biblioteca open-source ubiquitous libwebp, care afectează numeroase produse software, inclusiv Chrome, Firefox, iOS, Microsoft Teams și multe altele.

CVE-2023-4211 este o vulnerabilitate de tip use-after-free memory ce afectează mai multe versiuni ale driverelor GPU Arm Mali utilizate într-o gamă largă de modele de dispozitive Android. Exploatarea sa ar putea permite atacatorilor să acceseze sau să manipuleze date cu caracter confidențial.

Actualizarea Android din octombrie 2023 cuprinde:

• 13 remedieri în Android Framework;
• 12 remedieri în componentele de sistem;
• 2 actualizări pe Google Play;
• 5 actualizări în componentele Arm;
• 3 actualizări pentru cipurile MediaTek;
• 1 actualizare pentru cipurile Unisoc;
• 8 remedieri pentru componentele Qualcomm (15 pentru componente closed-source).

Dintre cele 54 de remedieri referitoare la Android, 5 sunt considerate ca având un grad de severitate critic, iar două dintre vulnerabilități sunt de tip remote code execution.

Această actualizare urmează sistemul standard de lansare a două niveluri de remedieri: primul (2023-10-01) se concentrează pe componentele de bază ale Android (Framework + System), în timp ce al doilea (2023-10-06) vizează nucleul și componentele closed-source.

Versiunile Android 10 și mai vechi nu mai sunt compatibile, însă, în funcție de gravitatea unor vulnerabilități remediate recent, acestea ar putea fi, de asemenea, afectate.

Sursă: https://www.bleepingcomputer.com/news/security/android-october-security-update-fixes-zero-days-exploited-in-attacks/