Google ha anunciat hui que les actualitzacions de seguretat d’Android de desembre de 2023 aborden 85 vulnerabilitats, incloent-hi un error d’execució remota de codi (RCE) sense clic de gravetat crítica.
Anàlisi
Registrat com a CVE-2023-40088, l’error RCE de zero clic es va trobar en el component del sistema d’Android i no requerix privilegis addicionals per a ser explotat.
Si bé la companyia encara no ha revelat si els atacants han atacat este error de seguretat en la naturalesa, els actors d’amenaces podrien explotar-lo per a obtindre l’execució de codi arbitrari sense interacció de l’usuari.
Este mes es van posar pedaços a 84 vulnerabilitats de seguretat addicionals, tres d’estos (CVE-2023-40077, CVE-2023-40076 i CVE-2023-45866) eren errors crítics d’escalada de privilegis i divulgació d’informació en el marc de treball i els components del sistema Android.
Es va abordar una quarta vulnerabilitat crítica (CVE-2022-40507) en els components de codi tancat de Qualcomm.
Recomanacions
Aplicar les actualitzacions de seguretat publicades per Google identificades com els nivells de seguretat 2023-12-01 i 2023-12-05.
Este últim inclou totes les correccions del primer conjunt i pedaços addicionals per a components de kernel i de codi tancat de tercers.
Referències