Google, Ekim ayı Android güvenlik güncellemelerinde 53 güvenlik açığını düzeltti; bunlardan ikisinin aktif olarak istismar edildiği biliniyor.
Google, Ekim ayı Android güvenlik güncellemelerinde 53 güvenlik açığını düzeltti; bunlardan ikisinin aktif olarak istismar edildiği biliniyor. Google’ın güvenlik bülteni, bu iki güvenlik açığının sınırlı ve hedefli bir şekilde kullanıldığına dair göstergelerin bulunduğunu belirtiyor.
Android telefonunuz 2023-10-06 veya sonraki yama düzeyindeyse aşağıda tartışılan iki sorun düzeltilmiştir. Güncellemeler Android 11, 12, 12L ve 13 için kullanıma sunuldu. Android ortakları tüm sorunlar hakkında yayınlanmadan en az bir ay önce bilgilendirilir ancak bu, yamaların her zaman tüm satıcıların cihazları için mevcut olduğu anlamına gelmez.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak yararlanılan bu iki güvenlik açığını, kötüye kullanıldığı bilinen güvenlik açıkları kataloğuna zaten ekledi. Bu, Federal Sivil Yürütme Organı (FCEB) kurumlarının belirli bir son tarihten önce bu güvenlik açıklarını düzeltmesi gerektiği anlamına geliyor. CVE-2023-4863’ün 4 Ekim 2023’te yayınlanması gerekiyordu ve CVE-2023-4211’in 24 Ekim 2023’e kadar yamasının tamamlanması gerekiyordu.
Cihazınızın Android sürüm numarasını, güvenlik güncelleme düzeyini ve Google Play sistem düzeyini şu adreste bulabilirsiniz: Ayarlar uygulama. Sizin için güncellemeler mevcut olduğunda bildirim alacaksınız, ancak güncellemeleri manuel olarak da kontrol edebilirsiniz.
Çoğu telefon için şu şekilde çalışır: Altında Telefon hakkında veya Cihaz hakkında Cihazınız için yeni güncellemeler olup olmadığını kontrol etmek için Yazılım güncellemeleri’ne dokunabilirsiniz ancak cihazınızın markasına, türüne ve Android sürümüne göre küçük farklılıklar olabilir.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Aktif olarak yararlanılan CVE’ler şunlardır:
CVE-2023-4863: libwebp’de, WebP formatındaki görüntüleri kodlamak ve kodunu çözmek için bu kitaplığı kullanan birçok uygulamayı etkileyen bir yığın arabellek taşması, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla sınırların dışında belleğe yazma işlemi yapmasına olanak sağladı.
Bu, birçok uygulamayı etkileyen bir güvenlik açığıdır ve bunu, casus yazılım yüklemek için nasıl kullanıldığını açıklayan makalemizde uzun uzadıya tartıştık. Telefonunuz 2023-10-05 yama düzeyindeyse güvenlik açığı yamalı.
Ama bir sonraki öyle değil. Bunun için telefonunuzun 2023-10-06 yama seviyesinde olması gerekiyor.
CVE-2023-4211: ayrıcalıklı olmayan yerel bir kullanıcı, halihazırda serbest bırakılan belleğe erişim kazanmak için uygunsuz GPU bellek işleme işlemleri yapabilir. Bu güvenlik açığı, Google, Samsung, Huawei ve Xiaomi tarafından geliştirilen Android telefonların yanı sıra bazı Linux cihazları da dahil olmak üzere çok çeşitli Android cihaz modellerinde kullanılan Arm Mali GPU sürücülerinin birden fazla sürümünü etkiliyor. GPU, çoğunlukla resim ve videoların işlenmesi gibi grafikle ilgili görevlerde ve aynı zamanda yapay zeka eğitimi ve kripto madenciliği gibi kaynak ağırlıklı hesaplamalar için kullanılan özel bir çip türüdür.
Normalde Google, her güncelleme turu için iki farklı yama düzeyi kullanır; bu nedenle Android iş ortakları, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahiptir. Yama düzeyi numarası ne kadar yüksek olursa, o kadar çok güvenlik açığı giderilir. Bu turda 2023-10-05 ve 2023-10-06 yama seviyeleri arasındaki tek fark, CVE-2023-4211 için önemli olan yamadır.
Çip üreticisi Qualcomm Ekim ayı güvenlik bülteninde, Google Tehdit Analiz Grubu ve Google Project Zero’dan CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 ve CVE-2023-33063’ün olası olabileceğine dair göstergeler bulunduğunu söyledi. sınırlı, hedefli sömürü altında olmak. Bu sorunlara yönelik yamaların ilgili satıcılar tarafından güvenlik güncellemelerine ne zaman dahil edileceği belirsizdir.
Umarız tüm bu yamalar bir an önce cihazlarımıza ulaşır.
Yalnızca Android güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Android için Malwarebytes’i bugün indirerek tehditleri Android cihazlarınızdan uzak tutun.