Ne bilmek istiyorsun
- Google, Android'de uzaktan kod yürütülmesine izin veren bir güvenlik açığı buldu ve bunu "kritik güvenlik açığı" olarak tanımladı.
- Güvenlik açığı, "sıfır tıklama" kusuru olarak bilinir; bu, istismar edilmesi için herhangi bir etkileşim gerektirmediği anlamına gelir.
- Google, Android Açık Kaynak Projesi aracılığıyla OEM'lere bir düzeltme sağlıyor ancak akıllı telefonlarına güncelleme göndermek her telefon üreticisinin sorumluluğunda olacak.
Google, Aralık ayında Android'de uzaktaki bir bilgisayar korsanının telefonunuzda kod çalıştırmasına olanak tanıyan "kritik bir güvenlik açığı" keşfettiğini söyledi. Android Güvenlik Bülteni. Şirket zaten Android telefon üreticilerine bir düzeltme sağladı ancak her OEM'in güvenlik kusurunu düzeltmek için kendi güncellemesini göndermesi gerekecek.
Hata atandı CVE-2023-40088 içinde Ulusal Güvenlik Açığı Veritabanı, daha fazla bilgi sağlar. NVD raporuna göre sorun, Android telefon bir uygulamayı çalıştırmayı denediğinde ortaya çıkıyor. callback_thread_event
ile ilgili com_android_bluetooth_btservice_AdapterService.cpp. Bu eylem sırasında belleğin, serbest kaldıktan sonra kullan güvenlik açığı nedeniyle bozulması mümkündür.Esasen, bu sorun Android telefonların erişim sağlamasına neden oluyor com_android_bluetooth_btservice_AdapterService.cpp sistem belleğinin tahsisi kaldırıldıktan sonra izinsiz olarak. Bu, uzaktaki bir bilgisayar korsanının bir Android telefon, herhangi bir kullanıcı işlemine gerek kalmadan kodun çalıştırılması.
Bu kusur uzaktan yürütülebilse de, olası bir saldırganın işe yaraması için nispeten yakınınızda olması gerektiğini belirtmekte fayda var. Wi-Fi, Bluetooth veya NFC kablosuz bağlantısı aracılığıyla kullanılabilir.
Google, Android 11, 12, 12L, 13 ve en son sürümleri için bir düzeltme gönderdi Android14 içinden Android Açık Kaynak Projesi. Muhtemelen bu, söz konusu sürümlerdeki Android telefonların hatadan etkilendiği anlamına gelir. Bu sorun, kullanıcı etkileşimi gerektirmeden uzaktan kod yürütülmesine izin verdiğinden, en ciddi güvenlik açıklarından biridir.
Ne Google ne de NVD, hatanın aktif olarak kullanılıp kullanılmadığını belirtmiyor. Genellikle bu, bir güvenlik açığının kötüye kullanılması durumunda belirtilir, ancak bundan emin değiliz. Google, beklendiği üzere güvenlik açığıyla ilgili daha fazla içerik eklemedi. Şirket, sorun giderilene ve aktif cihazların çoğu güncellenene kadar muhtemelen daha fazla bilgi vermeyecektir.
Ancak yama AOSP üzerinden yayınlanacağı için hemen bir güncelleme görmeyeceksiniz. Güncelleme önümüzdeki birkaç gün içinde gönderilecek, ancak bundan sonra her Android OEM'in düzeltmeyi göndermesi gerekiyor. Yamayı ilk alan Pixel telefonlar olabilir ancak zaman çizelgeleri diğer markalar için değişiklik gösterebilir.
Bu sorunun ciddiyetini göz önünde bulundurarak, Android akıllı telefon kullanıyorsanız bu ayki güvenlik güncellemesine dikkat edin.