Η Google κυκλοφόρησε τις μηνιαίες ενημερώσεις κώδικα ασφαλείας για Android με διορθώσεις για 39 ελαττώματα, συμπεριλαμβανομένης μιας ευπάθειας zero-day που, όπως είπε, χρησιμοποιείται ενεργά σε περιορισμένες, στοχευμένες επιθέσεις.
Παρακολουθείται ως CVE-2021-1048, το σφάλμα zero-day περιγράφεται ως ευπάθεια χωρίς χρήση στον πυρήνα που μπορεί να αξιοποιηθεί για κλιμάκωση τοπικών προνομίων. Τα ζητήματα που αφορούν τη χρήση μετά την ελεύθερη χρήση είναι επικίνδυνα καθώς θα μπορούσαν να επιτρέψουν σε έναν παράγοντα απειλής να αποκτήσει πρόσβαση ή να παραπέμψει στη μνήμη μετά την απελευθέρωσή της, οδηγώντας σε μια συνθήκη «εγγραφής-τι-πού» που οδηγεί στην εκτέλεση αυθαίρετου κώδικα για να αποκτήσει τον έλεγχο ενός σύστημα του θύματος.
“Υπάρχουν ενδείξεις ότι το CVE-2021-1048 μπορεί να τελεί υπό περιορισμένη, στοχευμένη εκμετάλλευση”, σημείωσε η εταιρεία στη συμβουλή της τον Νοέμβριο χωρίς να αποκαλύψει τεχνικές λεπτομέρειες για την ευπάθεια, τη φύση των εισβολών και την ταυτότητα των επιτιθέμενων που μπορεί να καταχράστηκαν το ελάττωμα.
Επίσης, αποκαταστάθηκαν στην ενημερωμένη έκδοση κώδικα ασφαλείας δύο κρίσιμες ευπάθειες εκτέλεσης απομακρυσμένου κώδικα (RCE) — CVE-2021-0918 και CVE-2021-0930 — στο στοιχείο System που θα μπορούσαν να επιτρέψουν σε απομακρυσμένους διαχειριστές να εκτελέσουν κακόβουλο κώδικα στο πλαίσιο μιας προνομιακής διαδικασίας από αποστολή μιας ειδικά κατασκευασμένης μετάδοσης σε στοχευμένες συσκευές.
Δύο ακόμη κρίσιμα ελαττώματα, το CVE-2021-1924 και το CVE-2021-1975, επηρεάζουν τα στοιχεία κλειστού κώδικα της Qualcomm, ενώ μια πέμπτη κρίσιμη ευπάθεια στο Android TV (CVE-2021-0889) θα μπορούσε να επιτρέψει σε έναν εισβολέα που βρίσκεται σε κοντινή απόσταση να πραγματοποιήσει σιωπηλή σύζευξη με μια τηλεόραση και να εκτελέσει αυθαίρετα κώδικα χωρίς να απαιτούνται προνόμια ή αλληλεπίδραση του χρήστη.
Με τον τελευταίο γύρο ενημερώσεων, η Google έχει αντιμετωπίσει συνολικά έξι zero-days στο Android από την αρχή του έτους:
- CVE-2020-11261 (CVSS score: 8.4) – Improper input validation in Qualcomm Graphics component
- CVE-2021-1905 (CVSS score: 8.4) – Use-after-free in Qualcomm Graphics component
- CVE-2021-1906 (CVSS score: 6.2) – Detection of error condition without action in Qualcomm Graphics component
- CVE-2021-28663 (CVSS score: 8.8) – Mali GPU Kernel Driver allows improper operations on GPU memory
- CVE-2021-28664 (CVSS score: 8.8) – Mali GPU Kernel Driver elevates CPU RO pages to writable
