گوگل در آخرین بهروزرسانی امنیتی خود، چند آسیبپذیری بحرانی را در اندروید رفع کرده است. این آسیبپذیریها میتوانند توسط مهاجمان برای اهدافی چون اجرای کد از راه دور، دسترسی به اطلاعات حساس و اقدامات مشکوک بر روی دستگاههای کاربران مورد بهرهبرداری قرار گیرند.
یکی از این آسیبپذیریها با شناسه CVE-2023-40088 و شدت 9.8، در مؤلفه System اندروید وجود دارد و به مهاجم اجازه میدهد که بدون نیاز به کلیک و تعامل کاربر، کد دلخواه خود را از راه دور اجرا کند.
سه آسیبپذیری بحرانی دیگر با شناسههای CVE-2023-40077 ،CVE-2023-40076 و CVE-2023-45866 نیز در مؤلفههای Framework و System رفع شدهاند. با بهرهبرداری از این آسیبپذیریها مهاجم قادر خواهد بود به اطلاعات حساس دسترسی پیدا کند، اقدامات مشکوک را بر روی دستگاههای کاربران انجام دهد و یا از طریق ارسال پیامهای مخرب، دستگاههای آسیبپذیر را مورد بهرهبرداری قرار دهد. این آسیبپذیریها به ترتیب دارای شدت ۹.۱، ۹.۱ و ۸.۴ در مقیاس CVSS ارزیابی شدهاند.
همچنین، یک آسیبپذیری بحرانی با شناسه CVE-2022-40507 در مؤلفه Qualcomm نیز رفع شده است. این آسیبپذیری میتواند موجب شود که مهاجمان بتوانند به حافظه دستگاههای مجهز به Qualcomm دسترسی پیدا کنند و کدهای دلخواه را در آن اجرا کنند. شدت این آسیبپذیری نیز ۷.۸ گزارش شده است.
توصیههای امنیتی
گوگل توصیه میکند که کاربران اندروید برای حفاظت از دستگاههای خود در برابر این آسیبپذیریها، دستگاههای خود را بهروزرسانی کنند. برای بررسی وضعیت بهروزرسانی دستگاه خود، میتوانید به تنظیمات، درباره دستگاه و بهروزرسانی سیستم مراجعه کنید.
منابع خبر:
[1] https://www.bleepingcomputer.com/news/security/december-android-updates-fix-critical-zero-click-rce…
[2] https://source.android.com/docs/security/bulletin/2023-12-01
- 76