Google birti mánaðarlegar öryggisuppfærslur fyrir 46 veikleika Android stýrikerfisins. Þrjá þeirra er verið að misnota og eru tveir af þeim metnir alvarlegir.
Alvarlegir veikleikar í Android
CVE-2021-29256
Veikleikinn CVE-2021-29256 er með CVSSv3 skor upp á 8.8 og nær til Bifrost, Midgard og Valhall ARM búnaðar fyrir Android. Gallinn felur í sér að notandi getur komist yfir minni sem hefur losnað (e. freed memory) án heimildar sem getur leitt til gagnaleka og aukinna réttinda til kerfisstjórnunar (e. root privilege escalation) [1, 2].
CVE-2023-2136
Veikleikinn CVE-2023-2136 er með CVSSv3 skor upp á 9.6 og er rakinn til heiltölu yfirflæðis (e. Integer overflow) í Skia í Google Chrome sem gæti gefið ógnaraðila möguleika á að brjótast út úr einangruðu og takmörkuðu sandbox umhverfi (e. sandbox escape) [1, 3].
Aðrir veikleikar
Aðrir veikleikar voru einnig lagfærðir með uppfærslunni, m.a. alvarlegur veikleiki (CVE-2023-21250) sem var hægt að nýta án aukinna réttinda eða aðkomu notanda (e. no user interaction) og veikleiki tengdur minnisleka (CVE-2023-26083) [1].
Veikleikarnir hafa verið lagfærðir í eftirfarandi útgáfum
Öryggisuppfærslur júlí 2023 fyrir Android stýrikerfi útgáfur 11, 12 og 13 lagfærðu veikleikana.
Tilvísanir:
[1] https://www.bleepingcomputer.com/news/security/android-july-security-updates-fix-three-actively-exploited-bugs/
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-29256
[3] https://www.securityweek.com/android-security-updates-patches-3-exploited-vulnerabilities/