Google выпустила обновления безопасности Android за декабрь , которые устраняют 85 уязвимостей, включая критическую Zero-Click уязвимость удаленного выполнения кода (Remote Code Execution, RCE).
Zero-Click ошибка, отслеживаемая как CVE-2023-40088 , была обнаружена в системном компоненте Android и не требует дополнительных привилегий для использования. Хотя компания еще не сообщила, воспользовались ли злоумышленники уязвимостью, они могут использовать недостаток для выполнения произвольного кода без взаимодействия с пользователем.
В декабре также были исправлены еще 84 уязвимости безопасности, три из которых (CVE-2023-40077, CVE-2023-40076 и CVE-2023-45866) связаны с критическими ошибками повышения привилегий и раскрытия информации в компонентах Android Framework и системы. Четвертая критическая уязвимость ( CVE-2022-40507 CVSS: 7.8) была устранена в компонентах Qualcomm с закрытым исходным кодом.
Как обычно, Google выпустила два набора исправлений в декабрьском обновлении безопасности, обозначенных как уровни безопасности 2023-12-01 и 2023-12-05. Последний включает в себя все исправления из первого набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и компонентов ядра. Примечательно, что другие исправления могут потребоваться не всем устройствам Android.
Поставщики устройств могут отдать приоритет развертыванию начального уровня исправлений, чтобы упростить процедуру обновления, хотя это по своей сути не предполагает повышенного риска потенциальной эксплуатации.
Также важно отметить, что, за исключением устройств Google Pixel, которые получают ежемесячные обновления безопасности сразу после выпуска, другим производителям потребуется некоторое время перед выпуском исправлений. Такая задержка необходима для дополнительного тестирования исправлений безопасности, чтобы убедиться в отсутствии несовместимости с различными конфигурациями оборудования.