Декабрьские обновления Google для Android устранили 85 различных уязвимостей, включая критическую zero-click уязвимость, приводящую к выполнению произвольного кода.
Проблема отслеживается под идентификатором CVE-2023-40088, была обнаружена в компоненте System в Android и не требует дополнительных привилегий для эксплуатации.
Хотя пока в компании не сообщили, находилась ли эта уязвимость под атаками, в теории злоумышленники могли использовать этот баг для выполнения произвольного кода без участия пользователя. То есть эксплуатация CVE-2023-40088 не тербует никакого взаимодействия с человеком.
«Оценка серьезности уязвимости основана на эффекте, который ее эксплуатация может оказать на пострадавшее устройство, при условии, что защитные средства платформы и сервисов отключены в целях разработки или успешно преодолены», — пишут специалисты Google.
Также стоит отметить, что в этом месяце было исправлено еще 84 уязвимости, три из которых (CVE-2023-40077, CVE-2023-40076 и CVE-2023-45866) представляют собой критические проблемы, связанные с повышением привилегий и раскрытием информации в компонентах Android Framework и System. Четвертая критическая уязвимость (CVE-2022-40507) была устранена в компонентах Qualcomm с закрытым исходным кодом.
Как обычно, Google выпустила два набора патчей, обозначенных как уровни безопасности 2023-12-01 и 2023-12-05. Последний включает в себя все исправления из 2023-12-01, а также дополнительные патчи для сторонних компонентов с закрытым исходным кодом и компонентов ядра.
