Eylül 2023 Android Güvenlik Güncellemeleri, şu anda Wild'da hedeflenen bir sıfır gün hata da dahil olmak üzere 33 güvenlik açıklarıyla mücadele ediyor.
Bu yüksek şiddetli sıfır günlük güvenlik açığı (CVE-2023-35674), Android çerçevesinde, saldırganların kullanıcı etkileşimi veya ek yürütme ayrıcalıkları gerektirmeden ayrıcalıkları artırmasını sağlayan bir kusurdur.
Google, Salı günü yayınlanan bir danışmada, "CVE-2023-35674'ün sınırlı, hedeflenen sömürü altında olabileceğine dair göstergeler var." Dedi.
"Android'deki birçok sorun için sömürü, Android platformunun daha yeni sürümlerindeki geliştirmelerle daha da zorlaşıyor. Tüm kullanıcıları mümkünse Android'in en son sürümüne güncellemeye teşvik ediyoruz."
Bu aktif olarak sömürülen sıfır gün hatasının yanı sıra, Eylül Android güvenlik güncellemeleri ayrıca Android sistem bileşenindeki üç kritik güvenlik kusurunu ve bir tane Qualcomm kapalı kaynaklı bileşenlerde de ele alınıyor.
Üç kritik sistem hatası (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681), ek yürütme ayrıcalıkları veya kullanıcı etkileşimi gerektirmeden başarılı bir şekilde kullanıldıktan sonra uzaktan kod yürütme (RCE) ile sonuçlanabilir.
Platform ve hizmet azaltmaları geliştirme amacıyla devre dışı bırakıldığında veya başarılı bir şekilde atlandığında saldırganlar RCE saldırılarındaki bu güvenlik açıklarından yararlanabilir.
Dördüncü kritik hata (CVE-2023-28581 olarak izlendi) Qualcomm tarafından, uzaktan saldırganların keyfi kod yürütmesine, hassas bilgileri okumasına veya tetikleyici sistemin çökmelerini tetiklemeye izin verebilecek bir WLAN ürün yazılımı bellek bozulması sorunu olarak tanımlanır. ayrıcalıklar veya kullanıcı etkileşimi gerektirir.
Her zamanki gibi Google, Eylül 2023 için 2023-09-01 ve 2023-09-05 güvenlik yama seviyeleri olarak etiketlenen iki set yaması yayınladı.
İkinci yama seviyesi, ilk kümedeki tüm güvenlik düzeltmelerini ve üçüncü taraf kapalı kaynak ve tüm Android cihazlarla alakalı olmayan çekirdek bileşenleri için ek yamaları kapsar.
Cihaz satıcısınız, güncelleme işlemini hızlandırmak için ilk yama seviyesinin konuşlandırılmasına öncelik vermeyi tercih edebilir, bu seçim de artan bir sömürü riski anlamına gelmez.
Ayrıca, her ayın güvenlik güncellemelerini hemen alan Google Pixel cihazları dışında, diğer satıcıların her bir donanım yapılandırması için yamaları test etmek ve ince ayar yapmak için zamana ihtiyaç duydukları için cihazlarına itmek için biraz zaman gerektireceklerini belirtmek gerekir.
Bu ay için Android Güvenlik güncellemeleri 11, 12 ve 13'ü hedef hedefler ve daha eski, desteklenmeyen işletim sistemi sürümlerini de etkileyebilir.
Android 10 ve üstü kullananlar, desteklenen bir sürümü çalıştıran cihazlara yükseltmeyi veya son AOSP sürümüne dayanan üçüncü taraf Android ROM kullanarak mevcut olanı flaş etmeyi düşünmelidir.
Adobe, sömürülen Coldfusion CVE-2023-29298 Kusur için Yama Bypass'ı düzeltiyor
Microsoft Temmuz 2023 Patch Salı 6 sıfır gün, 132 kusur uyardı
Winrar Zero-Day Nisan ayından bu yana Ticaret Hesaplarını Hacklemek
Ivanti yeni aktif olarak sömürülen mobileon sıfır gün hatası konusunda uyarıyor
Microsoft Ağustos 2023 Patch Salı 2 sıfır gün, 87 kusur uyarıyor
Kaynak: Bleeping Computer