Google bugün, Aralık 2023 Android güvenlik güncellemelerinin, kritik önem derecesine sahip sıfır tıklamayla uzaktan kod yürütme (RCE) hatası da dahil olmak üzere 85 güvenlik açığını giderdiğini duyurdu.
CVE-2023-40088 olarak takip edilen sıfır tıklamalı RCE hatası, Android’in Sistem bileşeninde bulundu ve yararlanılması için ek ayrıcalıklar gerektirmiyor.
Şirket, saldırganların bu güvenlik kusurunu doğrudan hedef alıp almadığını henüz açıklamamış olsa da, tehdit aktörleri kullanıcı etkileşimi olmadan keyfi kod yürütme elde etmek için bu kusurdan yararlanabilir.
Danışma belgesinde, “Bu sorunlardan en ciddi olanı, Sistem bileşeninde, hiçbir ek yürütme ayrıcalığına ihtiyaç duyulmadan uzaktan (yakın/bitişik) kod yürütülmesine yol açabilecek kritik bir güvenlik açığıdır. Kötüye kullanım için kullanıcı etkileşimi gerekli değildir” diye açıklıyor.
“Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla kapatıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.”
Bu ay ek olarak 84 güvenlik açığı daha düzeltildi; bunlardan üçü (CVE-2023-40077, CVE-2023-40076 ve CVE-2023-45866), Android Framework ve Sistem bileşenlerinde kritik öneme sahip ayrıcalık yükseltme ve bilgilerin ifşa edilmesi hatalarıydı.
Qualcomm’un kapalı kaynak bileşenlerindeki dördüncü kritik güvenlik açığı (CVE-2022-40507) giderildi.
Saldırılarda yararlanılan Android sıfır günleri
İki ay önce, Ekim ayında Google, sıfır gün olarak istismar edilen iki güvenlik kusurunu da (CVE-2023-4863 ve CVE-2023-4211) yamaladı; ilki libwebp açık kaynak kütüphanesindeydi ve ikincisi birden fazla Arm Mali’yi etkiliyordu. Çok çeşitli Android cihaz modellerinde kullanılan GPU sürücüsü sürümleri.
Eylül Android güvenlik güncellemeleri, saldırganların ek yürütme ayrıcalıkları veya kullanıcı etkileşimi gerektirmeden ayrıcalıkları yükseltmesine olanak tanıyan, Android Framework bileşeninde aktif olarak yararlanılan başka bir sıfır günü (CVE-2023-35674) ele aldı.
Google, her zamanki gibi Aralık güvenlik güncellemeleri ayıyla birlikte 2023-12-01 ve 2023-12-05 güvenlik düzeyleri olarak tanımlanan iki yama seti yayınladı. İkincisi, ilk setteki tüm düzeltmeleri ve üçüncü taraf kapalı kaynak ve Çekirdek bileşenleri için ek yamaları içerir. Özellikle, bu diğer yamalara tüm Android cihazlarda ihtiyaç duyulmayabilir.
Cihaz satıcıları, güncelleme prosedürünü kolaylaştırmak için ilk yama düzeyinin dağıtımına öncelik verebilir; ancak bu, doğası gereği potansiyel kötüye kullanım riskinin yüksek olduğu anlamına gelmez.
Ayrıca, piyasaya sürüldükten hemen sonra aylık güvenlik güncellemelerini alan Google Pixel cihazları dışında, diğer üreticilerin yamaları yayınlamadan önce biraz zamana ihtiyacı olacağını da unutmamak gerekir. Bu gecikme, çeşitli donanım yapılandırmalarıyla uyumsuzluk olmadığından emin olmak amacıyla güvenlik yamalarının ek testleri için gereklidir.