Google, Android için Ekim 2023’te, aktif olarak istismar edildiği bilinen iki güvenlik açığı da dahil olmak üzere 54 benzersiz güvenlik açığını gideren güvenlik güncellemelerini yayınladı.
İstismar edilen iki kusur CVE-2023-4863 ve CVE-2023-4211’dir; Google’ın “sınırlı, hedefli bir istismar altında olabileceğine dair belirtiler vardır.
CVE-2023-4863, her yerde bulunan açık kaynak kütüphanesi libwebp’de bulunan ve Chrome, Firefox, iOS, Microsoft Teams ve çok daha fazlası dahil çok sayıda yazılım ürününü etkileyen bir arabellek taşması güvenlik açığıdır.
Söz konusu kusur, aslında temel kitaplıkta olmasına rağmen, başlangıçta yanlışlıkla Apple iOS ve Google Chrome için ayrı CVE’ler olarak atandı. Daha sonra yeni bir CVE (CVE-2023-5129) atayarak sorunu düzeltme girişimi reddedildi.
CVE-2023-4211, geniş bir Android cihaz model yelpazesinde kullanılan Arm Mali GPU sürücülerinin birden fazla sürümünü etkileyen, aktif olarak istismar edilen bir kusurdur.
Bu kusur, saldırganların hassas verilere yerel olarak erişmesine veya bunları manipüle etmesine olanak tanıyan, boş hafızanın kullanılmasıyla ilgili bir sorundur.
Özetle Ekim 2023 Android güncellemesi şunları getiriyor:
- Android Framework’te 13 düzeltme
- Sistem bileşenlerinde 12 düzeltme
- Google Play’de iki güncelleme
- Kol bileşenlerinde beş düzeltme
- MediaTek çipleriyle ilgili üç düzeltme
- Unisoc çipleriyle ilgili bir düzeltme
- Qualcomm bileşenlerinde 18 düzeltme (kapalı kaynak için 15)
Android 11’den 13’e kadar olan 54 düzeltmeden beşi kritik olarak değerlendirildi ve ikisi uzaktan kod yürütme sorunlarıyla ilgili.
Bu güncelleme, iki yama seviyesi yayınlamadan oluşan standart sistemi takip eder: ilki (2023-10-01) temel Android bileşenlerine (Çerçeve + Sistem) odaklanırken, ikincisi (2023-10-06) çekirdeğe ve kapalı kaynak bileşenlerine yöneliktir. .
Bu yaklaşım, cihaz üreticilerinin donanım modelleriyle ilgili güncellemeleri seçerek uygulamalarına olanak tanır ve böylece bunların daha hızlı kullanılabilir olmasını sağlar.
İlk yama düzeyinin alıcıları, içinde bulunduğumuz ayın Android temel güncellemelerinin yanı sıra bir önceki ayın (bu örnekte Eylül 2023) her iki düzeyinin güncellemelerini de alacaktır.
Güncelleme ekranında ikinci yol seviyesini görenler bu ayki bültende bahsedilen tüm güncellemeleri alacaklar.
Android 10 ve daha eski sürümler artık desteklenmiyor ancak yakın zamanda düzeltilen bazı güvenlik açıklarının kapsamına bağlı olarak bunlar da etkilenebilir.
Bununla birlikte, eski Android sistem kullanıcılarının daha yeni bir modele yükseltmeleri veya cihazlarını, modelleri için güvenlik güncellemeleri sunan üçüncü taraf bir Android dağıtımıyla flaş etmeleri önerilir.