Firma Google ogłosiła aktualizacje zabezpieczeń dla Androida datowane na październik 2023 r., które skutecznie zamknęły 54 różne podatności, w tym dwie aktywnie wykorzystywane.
CVE-2023-4863: luka w bibliotece libwebp
Jedną z tych podatności jest CVE-2023-4863, która dotyczy przepełnienia bufora w powszechnie stosowanej bibliotece open source libwebp. Usterka ta wpływała na różnorodne programy, takie jak Chrome, Firefox, iOS, Microsoft Teams i wiele innych.
Druga aktywnie wykorzystywana podatność to CVE-2023-4211, która dotyczy sterowników GPU Arm Mali używanych w wielu modelach urządzeń z systemem Android. Umożliwiała ona atakującym lokalny dostęp do wrażliwych danych.
Szczegóły aktualizacji Androida z października 2023
W ramach tej aktualizacji wprowadzono:
- 13 poprawek w Android Framework
- 12 poprawek w komponentach systemu
- Dwie aktualizacje w Google Play
- Pięć poprawek w komponentach Arm
- Trzy poprawki dotyczące układów MediaTek
- Jedną poprawkę dotyczącą chipów Unisoc
- 18 poprawek komponentów Qualcomm (w tym 15 dla wersji o zamkniętym kodzie źródłowym)
Spośród 54 poprawek, pięć miało charakter krytyczny, a dwie dotyczyły problemów ze zdalnym wykonaniem kodu.
Dwupoziomowy system aktualizacji
Aktualizacja ta wprowadza dwupoziomowy system poprawek: pierwszy (2023-10-01) koncentruje się na podstawowych komponentach Androida (Framework + System), podczas gdy drugi (2023-10-06) obejmuje jądro systemu oraz komponenty o zamkniętym kodzie źródłowym.
To podejście umożliwia producentom urządzeń selektywne stosowanie aktualizacji odpowiednich dla ich modeli sprzętu, przyspieszając tym samym ich dostępność.
Ważność aktualizacji dla starszych wersji Androida
Starsze wersje Androida, takie jak Android 10 i wcześniejsze, nie są już obsługiwane. Niemniej jednak, w zależności od zakresu niektórych naprawionych podatności, użytkownicy tych systemów mogą również być narażeni na potencjalne zagrożenia.
Zaleca się użytkownikom starszych systemów Android aktualizację do nowszego modelu lub flashowanie urządzenia przy użyciu dystrybucji Androida innej firmy, która oferuje aktualizacje zabezpieczeń dla ich konkretnych modeli.