W poniedziałek 5 sierpnia Google ogłosiło wprowadzenie poprawek bezpieczeństwa dla Androida, a lista zawiera między innymi lukę dnia zerowego, która prawdopodobnie została wykorzystana w atakach ukierunkowanych.
Zero-day został sklasyfikowany jako CVE-2024-3697 i opisany jako problem o dużej wadze, który można wykorzystać do zdalnego wykonania kodu.
„Istnieją przesłanki wskazujące, iż CVE-2024-36971 może być przedmiotem ograniczonego, ukierunkowanego wykorzystania” – informuje Google w swoim poradniku. Znaczy to nic innego jak to, iż luka wykorzystywana jest w praktyce.
Nie udostępniono żadnych informacji na temat ataków wykorzystujących CVE-2024-36971, ale warto zauważyć, iż odkrył je Clément Lecigne z Google, któremu często przypisuje się znajdowanie luk wykorzystywanych przez komercyjnych dostawców systemu szpiegującego.
Dodajmy, iż najnowsze aktualizacje Androida łatają ponad 40 innych luk, z których większość ma ocenę „wysokiej ważności”.
W komponencie „framework” załatano około dwunastu luk, w tym błędy, które można wykorzystać do eskalacji uprawnień, ujawniania informacji i ataków DoS. Naprawiono jeden problem z ujawnianiem informacji w komponencie „system”.
Naprawiono także kilka luk w komponentach Arm, Imagination Technologies i MediaTek.
Komponent Qualcomm aktualizuje łatkę 27 luk w wyświetlaczu, sieci WLAN i innych podkomponentach. Jednej luce przypisano ocenę „poważnej krytycznej” – umożliwiała atakującemu wywołanie trwałego stanu DoS.
W poniedziałek Google ogłosiło także łatki dla Wear OS.
Z kolei Microsoft planuje uniemożliwić pracownikom w Chinach używanie urządzeń z systemem Android do logowania się w sieci korporacyjnej.
Według raportu Bloomberga Microsoft wysłał do chińskich pracowników wewnętrzną notatkę szczegółowo opisującą plan, który wchodzi w życie we wrześniu i będzie nakazywał używanie iPhone’ów do uwierzytelniania tożsamości podczas logowania się na komputerach służbowych!
Dyrektywa jest zgłaszana jako część nowej inicjatywy Microsoft Secure Future Initiative, która powstała w odpowiedzi na liczne żenujące naruszenia oraz zjadliwy raport rządu USA na temat nieodpowiednich praktyk korporacji z Redmond w zakresie cyberbezpieczeństwa.
Bloomberg napisał, iż wprowadzenie obowiązku korzystania z urządzeń mobilnych wpłynie na setki pracowników w całych Chinach kontynentalnych i będzie zachęcać do korzystania z menedżera haseł Microsoft Authenticator oraz aplikacji Identity Pass.
W raporcie zauważono, iż w przeciwieństwie do sklepu Apple na iOS, Google Play nie jest dostępne w Chinach, a wiodący lokalni producenci telefonów, tacy jak Huawei i Xiaomi, obsługują własne platformy. Z notatki wynika, iż Microsoft zdecydował się ograniczyć dostęp z tych urządzeń do swoich zasobów korporacyjnych ze względu na brak usług mobilnych Google w Chinach.
Dodatkowo notatka zawiera informacje, iż pracownicy korzystający z urządzeń z Androidem, w tym Huawei czy Xiaomi, otrzymają iPhone’a 15 w ramach jednorazowego zakupu.
Bloomberg powiedział, iż Microsoft planuje dystrybucję iPhone’ów w różnych centrach w całych Chinach, w tym w Hongkongu, gdzie dostępne są usługi Google.
W ramach nowej inicjatywy Secure Future Microsoft zobowiązał się do udostępniania szybszych poprawek w chmurze, lepszego zarządzania kluczami podpisywania tożsamości i dostarczania systemu z wyższym domyślnym poziomem bezpieczeństwa. Microsoft planuje wdrożyć najnowocześniejsze standardy zarządzania tożsamością i materiałami poufnymi, w tym rotację kluczy chronioną sprzętowo i wieloczynnikowe uwierzytelnianie odporne na phishing dla wszystkich kont użytkowników.
Nowa strategia będzie również kłaść nacisk na ochronę sieci i systemów produkcyjnych korporacji poprzez poprawę izolacji, monitorowania, inwentaryzacji i bezpieczeństwa operacji.
