December 6, 2024

Google ออกแพตช์อุดช่องโหว่ 46 รายการบนแอนดรอยด์

Google ได้ออกการอัปเดตความปลอดภัยสำหรับระบบปฏิบัติการ Android โดยระบุถึงช่องโหว่ของซอฟต์แวร์ใหม่ 46 รายการ ซึ่งรวมไปถึง 3 ช่องโหว่สำคัญ ที่เป็นช่องทางให้แฮกเกอร์โจมตีอุปกรณ์ของผู้ใช้ได้

ช่องโหว่แรกคือ CVE-2023-26083 ช่องโหว่นี้ถูกใช้ในการโจมตีของสปายแวร์บนอุปกรณ์ของซํมซุงในช่วงเดือนธันวาคม 2565 เป็นข้อบกพร่องของการรั่วไหลของหน่วยความจำที่ส่งผลกระทบต่อไดรเวอร์ Arm Mali GPU สำหรับเครื่องที่ใช้ชิป Bifrost, Avalon และ Valhall

ช่องโหว่นี้ถือว่ามีความร้ายแรงพอที่จะกระตุ้นให้หน่วยงานความปลอดภัยด้านไซเบอร์ของสหรัฐ Cybersecurity and Infrastructure Security Agency (CISA) ออกคำสั่งให้หน่วยงานรัฐบาลกลางรีบอัปเดตโดยด่วน

ช่องโหว่ที่สองคือ CVE-2021-29256 เป็นปัญหาที่มีความรุนแรงสูงซึ่งส่งผลกระทบต่อไดรเวอร์เคอร์เนล GPU Bifrost และ Midgard Arm Mali บางรุ่น ข้อบกพร่องนี้ทำให้ผู้ใช้ที่ไม่มีสิทธิ์ สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต และเพิ่มสิทธิ์ไปยังระดับรูท

ช่องโหว่ที่สามคือ CVE-2023-2136 เป็นข้อบกพร่องระดับวิกฤตที่พบใน Skia ซึ่งเป็นไลบรารีกราฟิก 2D หลายแพลตฟอร์มแบบโอเพนซอร์สของ Google ในตอนแรกมีการเปิดเผยว่าเป็นช่องโหว่แบบ Zero-day ในเบราว์เซอร์ Chrome และอนุญาตให้ผู้โจมตีระยะไกลที่เข้าควบคุมกระบวนการเรนเดอร์เพื่อทำการหลบหนีแบบแซนด์บ็อกซ์และรันโค้ดจากระยะไกลบนอุปกรณ์แอนดรอยด์

นอกเหนือจากนี้ กระดานข่าวความปลอดภัยของแอนดรอยด์ประจำเดือนกรกฎาคมของ Google ยังเน้นถึงช่องโหว่ที่สำคัญอีกรายการหนึ่ง นั่นคือ CVE-2023-21250 ซึ่งส่งผลกระทบต่อส่วนประกอบของระบบปฏิบัติการแอนดรอยด์

ปัญหานี้อาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกลโดยไม่ต้องมีการตอบรับของผู้ใช้

ที่มา : thehackernews