Android işletim sistemi (OS) için Nisan ayında yapılan güncellemede Google, 28 güvenlik açığını düzeltti; bunlardan biri Qualcomm çipleriyle donatılmış Android cihazlar için kritik olarak derecelendirildi.
Cihazınızın Android sürüm numarasını, güvenlik güncelleme düzeyini ve Google Play sistem düzeyini Ayarlar uygulamanızda bulabilirsiniz. Sizin için güncellemeler mevcut olduğunda bildirim alacaksınız, ancak güncellemeleri de kontrol edebilirsiniz.
Android telefonunuz 2024-04-05 veya sonraki yama düzeyindeyse aşağıda tartışılan sorunlar düzeltilmiştir. Güncellemeler Android 12, 12L ve 13 için kullanıma sunuldu. Android ortakları tüm sorunlar hakkında yayınlanmadan en az bir ay önce bilgilendirilir ancak bu, yamaların her zaman tüm satıcıların cihazları için mevcut olduğu anlamına gelmez.
Çoğu telefon için şu şekilde çalışır: Altında Telefon hakkında veya Cihaz hakkında üzerine dokunabilirsin Yazılım güncellemeleri Cihazınız için yeni güncellemeler olup olmadığını kontrol etmek için; ancak cihazınızın markasına, türüne ve Android sürümüne göre küçük farklılıklar olabilir.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Qualcomm CVE, CVE-2023-28582 olarak listelenmiştir. CVSS puanı 20 üzerinden 9,8'dir ve Datagram Aktarım Katmanı Güvenliği (DTLS) anlaşması sırasında merhaba-doğrulama mesajını doğrularken Veri Modeminde bellek bozulması olarak tanımlanır.
Bellek bozulmasının nedeni, giriş boyutunun kontrol edilmeden arabellek kopyasında yatmaktadır. Pratik olarak bu, uzaktaki bir saldırganın DTLS anlaşmasının doğrulanması sırasında arabellek taşmasına neden olabileceği ve etkilenen cihazda kod çalıştırmasına olanak tanıyabileceği anlamına gelir.
Google tarafından vurgulanan bir diğer güvenlik açığı ise Sistem bileşeninde Android 13 ve Android 14'ü etkileyen bir ayrıcalık yükselmesi (EoP) güvenlik açığı olan CVE-2024-23704'tür.
Bu güvenlik açığı, ek yürütme ayrıcalığına ihtiyaç duyulmadan yerel ayrıcalık artışına yol açabilir. Yerel ayrıcalık yükseltme, bir kullanıcı başka bir kullanıcının sistem haklarını aldığında gerçekleşir. Bu, saldırganın erişmemesi gereken bilgilere erişmesine veya daha yüksek düzeyde izinlerle eylemler gerçekleştirmesine olanak tanıyabilir.
Piksel kullanıcıları
Google, Pixel kullanıcılarını iki yüksek önem dereceli güvenlik açığının sınırlı ve hedefli bir şekilde istismar edilebileceğine dair belirtiler olduğu konusunda uyarıyor. Bu güvenlik açıkları şunlardır:
- CVE-2024-29745: Önyükleyici bileşeninde bilginin açığa çıkması güvenlik açığı. Önyükleyiciler, bir cihaz başlatıldığında ilgili tüm işletim sistemi verilerinin ana belleğe yüklenmesini sağlayan ve yükleyen ilk programlardan biridir.
- CVE-2024-29748: Pixel ürün yazılımındaki ayrıcalık yükselmesi (EoP) güvenlik açığı. Firmware, donanımın çalışmasına ve cihazda çalışan diğer yazılımlarla iletişim kurmasına olanak tanıyan temel makine talimatlarını sağlayan, cihaza özel bir yazılımdır.
Pixel cihazlarda 2024-04-05 güvenlik yaması düzeyi tüm bu güvenlik açıklarını giderir.
Yalnızca telefon güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. iOS için Malwarebytes'i ve Android için Malwarebytes'i bugün indirerek tehditleri mobil cihazlarınızdan uzak tutun.