Google выпустила обновления для системы безопасности Android за октябрь 2023 года, устраняющие 54 уникальные уязвимости, в том числе две, которые, как известно, активно используются злоумышленниками.
CVE-2023-4863и CVE-2023-4211 – это как раз те уязвимости, в отношении которых у Google есть основания полагать, что они “могут подвергаться ограниченному целенаправленному использованию”.
CVE-2023-4863 – это уязвимость переполнения буфера в повсеместно используемой библиотеке с открытым исходным кодом libwebp, которая влияет на многочисленные программные продукты, включая Chrome, Firefox, iOS, Microsoft Teams и многие другие.
Данной уязвимости изначально были присвоены отдельные CVE-идентификаторы для Apple iOS и Google Chrome, хотя на самом деле ошибка скрывалась в базовой библиотеке.
CVE-2023-4211 – это активно используемая уязвимость, влияющая на несколько версий драйверов графических процессоров Mali от ARM, используемых в широком спектре моделей Android-устройств.
Данный недостаток безопасности является Use-After-Free уязвимостью, которая может позволить злоумышленникам локально получать доступ к конфиденциальным данным или манипулировать ими.
В целом, октябрьское обновление безопасности приносит следующие исправления:
- 13 исправлений в платформе Android;
- 12 исправлений в системных компонентах;
- 2 обновления в Google Play;
- 5 исправлений в компонентах ARM;
- 3 исправления, касающиеся чипов MediaTek;
- 1 исправление, касающееся чипов Unisoc;
- 18 исправлений компонентов Qualcomm;
Из 54 исправлений, касающихся Android 11-13, пять оцениваются как критические, а ещё два касаются проблем с удалённым выполнением кода.
Данное обновление соответствует стандартной системе выпуска двух уровней исправлений: первое (2023-10-01) касается основных компонентов Android (фреймворк + система), в то время как второе (2023-10-06) касается ядра и компонентов с закрытым исходным кодом.
Такой подход позволяет производителям устройств выборочно применять обновления, соответствующие их моделям оборудования, тем самым быстрее развёртывая их на поддерживаемые устройства.
Получатели первого уровня исправлений получат обновления ядра Android текущего месяца, а также обновления обоих уровней предыдущего месяца, в данном случае сентября 2023 года. В свою очередь, получатели второго уровня обновления, получат все обновления, упомянутые в бюллетене за этот месяц.
Android 10 и более ранние версии официально больше не поддерживаются и не будут получать обновления безопасности. Пользователям старых версий рекомендуется либо перейти на более современное устройство, либо прошить свой текущий смартфон сторонним дистрибутивом на свежей версии Android, который предлагает последние обновления безопасности. Хотя второй вариант часто может нести за собой нестабильную работу системы.