Google, Android platformu için aylık güvenlik güncellemesini yayınladı ve beşi kritik önem derecesine sahip ve biri en az geçen Aralık ayından bu yana istismar edilen 56 güvenlik açığı için düzeltmeler ekledi.
Yeni güvenlik düzeltme eki seviyesi 2023-06-05, Google’ın Tehdit Analiz Grubu’nun (TAG) bir casus yazılımda kullanılmış olabileceğine inandığı Arm’ın Mali GPU çekirdek sürücüsündeki yüksek önem dereceli bir kusur olan CVE-2022-22706 için bir düzeltme eki entegre ediyor Samsung telefonları hedefleyen kampanya.
Google’ın en son bülteninde “CVE-2022-22706’nın sınırlı, hedefli istismar altında olabileceğine dair göstergeler var” yazıyor. CISA, Mart ayı sonunda yayınlanan bir danışma belgesinde CVE-2022-22706’nın aktif olarak kullanılmasına da dikkat çekti.
10 üzerinden 7,8 puan alan yüksek önem dereceli güvenlik sorunu, ayrıcalığı olmayan kullanıcıların salt okunur bellek sayfalarına yazma erişimi elde etmelerini sağlar.
Arm’a göre, sorun aşağıdaki çekirdek sürücü sürümlerini etkiliyor:
- Midgard GPU Çekirdek Sürücüsü: r26p0 – r31p0’dan itibaren tüm sürümler
- Bifrost GPU Çekirdek Sürücüsü: r0p0 – r35p0’dan itibaren tüm sürümler
- Valhall GPU Çekirdek Sürücüsü: r19p0’dan tüm sürümler – r35p0
Arm, sorunu Bifrost ve Valhall GPU Çekirdek Sürücüsü r36p0 ve Midgard Çekirdek Sürücüsü r32p0’da düzeltti, ancak düzeltme yalnızca şimdi Android’in kararlı sürümüne sızdı.
Samsung’un Mayıs 2023 güncellemesinde CVE-2022-22706’yı ele aldığını belirtmekte fayda var. Şirketin kusurun aktif olarak kullanılmasına hızlı yanıt vermesi, muhtemelen kullanıcılarının casus yazılım kampanyası tarafından açıkça hedef alınmasından kaynaklanmaktadır.
Bu ayın Android güncellemesinde düzeltilen kritik önem derecesindeki kusurlar şunları içerir:
- CVE-2023-21127 – Android Framework’te, Android 11, 12 ve 13’ü etkileyen uzaktan kod yürütme hatası. “2023-06-01” güvenlik düzeltme eki seviyesinde düzeltildi.
- CVE-2023-21108 – Android Sisteminde, Android 11, 12 ve 13’ü etkileyen uzaktan kod yürütme kusuru. “2023-06-01” güvenlik düzeltme eki seviyesinde düzeltildi.
- CVE-2023-21130 – Android Sisteminde, Android 13’ü etkileyen uzaktan kod yürütme kusuru. “2023-06-01” güvenlik düzeltme eki seviyesinde düzeltildi.
- CVE-2022-33257 – Qualcomm kapalı kaynak bileşenlerini etkileyen, tanımlanamayan türden kritik kusur. “2023-06-05” güvenlik yaması düzeyinde düzeltildi.
- CVE-2022-40529 – Qualcomm kapalı kaynak bileşenlerini etkileyen, tanımlanamayan türden kritik kusur. “2023-06-05” güvenlik yaması düzeyinde düzeltildi.
Android 10 veya daha eski sürümleri çalıştıran cihazlar artık desteklenmemektedir ve bu güvenlik güncellemesini almayacaktır.
Eski cihazların kullanıcıları, olası bir etki riskinin farkında olmalıdır. Ya daha yeni, aktif olarak desteklenen bir Android modeline geçmeli ya da genellikle gecikmeli olarak gelse bile güvenlik düzeltmeleri sağlayan üçüncü taraf bir Android dağıtımına geçmelidirler.