Hoppa yfir valmynd

Alvarlegir veikleikar lagfærðir með öryggisuppfærslu í Android

07. júl. 2023

Google birti mánaðarlegar öryggisuppfærslur fyrir 46 veikleika Android stýrikerfisins. Þrjá þeirra er verið að misnota og eru tveir af þeim metnir alvarlegir. 

Alvarlegir veikleikar í Android

CVE-2021-29256

Veikleikinn CVE-2021-29256 er með CVSSv3 skor upp á 8.8 og nær til Bifrost, Midgard og Valhall ARM búnaðar fyrir Android. Gallinn felur í sér að notandi getur komist yfir minni sem hefur losnað (e. freed memory) án heimildar sem getur leitt til gagnaleka og aukinna réttinda til kerfisstjórnunar (e. root privilege escalation) [1, 2].

CVE-2023-2136

Veikleikinn CVE-2023-2136 er með CVSSv3 skor upp á 9.6 og er rakinn til heiltölu yfirflæðis (e. Integer overflow) í Skia í Google Chrome sem gæti gefið ógnaraðila möguleika á að brjótast út úr einangruðu og takmörkuðu sandbox umhverfi (e. sandbox escape) [1, 3].

Aðrir veikleikar

Aðrir veikleikar voru einnig lagfærðir með uppfærslunni, m.a. alvarlegur veikleiki (CVE-2023-21250) sem var hægt að nýta án aukinna réttinda eða aðkomu notanda (e. no user interaction) og veikleiki tengdur minnisleka (CVE-2023-26083) [1].

Veikleikarnir hafa verið lagfærðir í eftirfarandi útgáfum

Öryggisuppfærslur júlí 2023 fyrir Android stýrikerfi útgáfur 11, 12 og 13 lagfærðu veikleikana.

 

Tilvísanir:

[1] https://www.bleepingcomputer.com/news/security/android-july-security-updates-fix-three-actively-exploited-bugs/
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-29256
[3] https://www.securityweek.com/android-security-updates-patches-3-exploited-vulnerabilities/