Сентябрьские обновления для Android устранили 33 уязвимости в операционной системе Google, включая проблему нулевого дня, которая в настоящее время уже используется злоумышленниками.

0-day уязвимость получила идентификатор CVE-2023-35674 и представляет собой недостаток в Android Framework, позволяющий злоумышленникам повысить привилегии. Для эксплуатации бага не требуется взаимодействие с пользователем и какие-либо дополнительные привилегии.

В компании сообщают, что уязвимость уже подвергается «ограниченной, тагретированной эксплуатации», однако подробности об этих атаках пока неизвестны.

Также в составе Android Framework были исправлены три другие проблемы, связанные с повышением привилегий. Наиболее серьезные из них «могут привести к локальному повышению привилегий и не требуют дополнительных привилегий для выполнения», а также какого-либо взаимодействия с пользователем.

Кроме того, сентябрьские обновления исправляют три критических недостатка в компоненте Android System (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) и один в компонентах Qualcomm с закрытым исходным кодом (CVE-2023-28581).

Уязвимости в Android System могут привести к удаленному выполнению кода (RCE) и тоже не требуют дополнительных привилегий или взаимодействия с пользователем.

В свою очередь, баг в компонентах Qualcomm описывается как нарушение целостности информации в памяти прошивки WLAN. Эта уязвимость может позволить удаленным злоумышленникам выполнить произвольный код, прочитать конфиденциальную информацию или вызывать сбои в работе системы.

Как обычно, компания Google разделила исправления на два уровня: 2023-09-01 и 2023-09-05. Уровень 2023-09-05 содержит все исправления безопасности из первого набора, а также дополнительные исправления для закрытых исходных кодов и компонентов ядра от сторонних разработчиков, которые могут быть актуальны не для всех устройств Android.

Обновления этого месяца касаются версий Android 11, 12 и 13, а также могут затрагивать более старые, неподдерживаемые версии ОС.

Источник: xakep