Eylül 2023 Android güvenlik güncellemeleri, şu anda yaygın olarak hedeflenen sıfır gün hatası da dahil olmak üzere 33 güvenlik açığını ortadan kaldırıyor.
Bu yüksek önem derecesine sahip sıfır gün güvenlik açığı (CVE-2023-35674), saldırganların kullanıcı etkileşimi veya ek yürütme ayrıcalıkları gerektirmeden ayrıcalıkları yükseltmesine olanak tanıyan Android Framework’teki bir kusurdur.
Google Salı günü yayınlanan bir danışma belgesinde, “CVE-2023-35674’ün sınırlı ve hedefli bir şekilde istismar edildiğine dair belirtiler var” dedi.
“Android platformunun daha yeni sürümlerindeki geliştirmeler, Android’deki pek çok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı, mümkün olduğunca Android’in en son sürümüne güncelleme yapmaya teşvik ediyoruz.”
Aktif olarak yararlanılan bu sıfır gün hatasının yanı sıra Eylül ayı Android güvenlik güncellemeleri, Android Sistem bileşenindeki üç ve Qualcomm kapalı kaynak bileşenlerindeki bir kritik güvenlik açığını da ele alıyor.
Üç kritik Sistem hatası (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681), ek yürütme ayrıcalıkları veya kullanıcı etkileşimi gerektirmeden başarılı bir şekilde yararlanmanın ardından uzaktan kod yürütülmesine (RCE) neden olabilir.
Saldırganlar, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı RCE saldırılarında bu güvenlik açıklarından yararlanabilir.
Dördüncü kritik hata (CVE-2023-28581 olarak izleniyor) Qualcomm tarafından, uzaktaki saldırganların rastgele kod yürütmesine, hassas bilgileri okumasına veya düşük karmaşıklıktaki saldırılarda sistem çökmelerini tetiklemesine olanak tanıyan bir WLAN Firmware belleği bozulması sorunu olarak tanımlanıyor. ayrıcalıklar veya kullanıcı etkileşimi gerektirir.
İki güvenlik yaması seviyesi
Her zamanki gibi Google, Eylül 2023 için 2023-09-01 ve 2023-09-05 güvenlik yaması seviyeleri olarak etiketlenen iki yama seti yayınladı.
İkinci yama düzeyi, ilk setteki tüm güvenlik düzeltmelerini ve tüm Android cihazlarla ilgili olmayabilecek üçüncü taraf kapalı kaynak ve Çekirdek bileşenlerine yönelik ek yamaları kapsar.
Cihaz satıcınız güncelleme sürecini hızlandırmak için ilk yama düzeyinin dağıtımına öncelik vermeyi tercih edebilir; ancak bu seçim mutlaka artan bir kötüye kullanım riski anlamına gelmez.
Her ayın güvenlik güncellemelerini anında alan Google Pixel cihazları dışında, diğer satıcıların her donanım yapılandırması için yamaları test etmek ve ince ayar yapmak için zamana ihtiyaç duymaları nedeniyle bunları cihazlarına göndermek için biraz zamana ihtiyaç duyacaklarını da belirtmekte fayda var.
Bu ayki Android güvenlik güncellemeleri 11, 12 ve 13 sürümlerini hedefliyor ve ayrıca daha eski, desteklenmeyen işletim sistemi sürümlerini de etkileyebilir.
Android 10 ve daha eskisini kullananlar, desteklenen bir sürümü çalıştıran cihazlara yükseltme yapmayı düşünmeli veya güncel AOSP sürümünü temel alan üçüncü taraf Android ROM’u kullanarak mevcut cihazlarını flashlamalıdır.