Xakep #305. Многошаговые SQL-инъекции
На этой неделе компания Google представила августовские исправления безопасности для Android. В список исправленных уязвимостей, в числе прочего, вошла проблема нулевого дня (CVE-2024-36971, 7,8 балла по шкале CVSS), связанная с удаленным выполнением кода в ядре.
Сообщается, что 0-day была обнаружена специалистом Google Threat Analysis Group (TAG) Клементом Лецинем (Clement Lecigne) и представляет собой use-after-free проблему в управлении сетевыми маршрутами в ядре Linux. Для ее успешной эксплуатации требуются привилегии уровня System, чтобы позволяет изменить поведение определенных сетевых соединений.
В Google отмечают, что CVE-2024-36971 уже могла «подвергаться ограниченной, целенаправленной эксплуатации», причем злоумышленники могут использовать уязвимость для выполнения произвольного кода без участия пользователя.
Пока в компании не раскрывают подробностей того, как именно происходит эксплуатация уязвимости, и кто мог применять ее своих атаках. Стоит отметить, что специалисты TAG занимаются отслеживанием правительственных хакеров, а также поставщиков коммерческий спайвари, включая создателей Pegasus (NSO Group) и Predator (Intellexa). К примеру, в 2023 году эксперты TAG обнаружила 25 уязвимостей нулевого дня, 20 из которых использовались поставщиками коммерческих средств наблюдения.
В общей сложности в этом месяце были исправлены более 40 уязвимостей в Android. Google, как обычно, выпустила два набора обновлений: уровня 2024-08-01 и уровня 2024-08-05. Последний включает в себя все исправления безопасности из первого набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и ядра. Например, на этом уровне исправлена критическая уязвимость (CVE-2024-23350) в компоненте Qualcomm с закрытым исходным кодом.
Также были устранены сразу 11 серьезных уязвимостей повышения привилегий в компоненте Framework, которые могли использоваться злоумышленниками без дополнительных привилегий.