Az Android biztonsági frissítései ebben a hónapban 46 sebezhetőséget javítanak, beleértve egy magas súlyosságú távoli kódfuttatási (RCE) hibát, amelyet célzott támadásokban kihasználtak.
A nulladik napi sebezhetőséget CVE-2024-36971 néven követik nyomon, és egy használat utáni felszabadítási (UAF) gyengeség a Linux kernel hálózati útvonalkezelésében. Sikeres kihasználásához rendszerszintű végrehajtási jogosultságokra van szükség, és lehetővé teszi bizonyos hálózati kapcsolatok viselkedésének megváltoztatását.
A Google szerint “vannak jelek arra, hogy a CVE-2024-36971 korlátozott, célzott kihasználás alatt állhat,” a fenyegetés szereplők valószínűleg önkényes kódfuttatásra használják fel felhasználói interakció nélkül a nem frissített eszközökön.
Clément Lecigne, a Google Threat Analysis Group (TAG) biztonsági kutatója fedezte fel és jelentette ezt a nulladik napi sebezhetőséget.
Bár a Google még nem szolgáltatott részleteket arról, hogyan használják ki a hibát, és melyik fenyegetés szereplő áll a támadások mögött, a Google TAG biztonsági kutatói gyakran azonosítanak és hoznak nyilvánosságra állami támogatású megfigyelő szoftver támadásokban használt nulladik napi sebezhetőségeket, amelyekkel magas rangú egyéneket céloznak meg.
“A forráskód javításokat ezekre a problémákra az Android Open Source Project (AOSP) adattárba a következő 48 órán belül kiadják,” magyarázza az értesítés.
Idén korábban a Google egy másik támadásokban kihasznált nulladik napi sebezhetőséget is javított: egy magas súlyosságú jogosultságkiterjesztési (EoP) hibát a Pixel firmware-ben, amelyet a Google CVE-2024-32896, a GrapheneOS pedig CVE-2024-29748 néven követett nyomon (amely felfedezte és jelentette a hibát).
Igazságügyi cégek ezt a sebezhetőséget használták ki Android eszközök feloldására PIN-kód nélkül, hogy hozzáférjenek a tárolt adatokhoz.
A Google két javításkészletet adott ki az augusztusi biztonsági frissítésekhez, a 2024-08-01 és a 2024-08-05 biztonsági javítási szintekkel. Az utóbbi tartalmazza az első készlet összes biztonsági javítását, valamint további javításokat harmadik fél zárt forráskódú és Kernel komponensekhez, például egy kritikus sebezhetőséget (CVE-2024-23350) egy Qualcomm zárt forráskódú komponensben.
Fontos megjegyezni, hogy nem minden Android eszköznek van szüksége a 2024-08-05 javítási szintre vonatkozó biztonsági javításokra. Az eszközgyártók előnyben részesíthetik az elsődleges javítási szint telepítését, hogy egyszerűsítsék a frissítési folyamatot. Ez azonban nem feltétlenül jelenti a potenciális kihasználás megnövekedett kockázatát.
Érdemes megemlíteni, hogy míg a Google Pixel eszközök azonnal megkapják a havi biztonsági frissítéseket a kiadás után, más gyártók esetleg némi időt igényelnek a javítások kiadása előtt. Ez a késés szükséges a biztonsági javítások további teszteléséhez, hogy biztosítsák a kompatibilitást a különféle hardverkonfigurációkkal.
