وفقًا لموقع The Hacker News ، من بين الثغرات الأمنية في نظام أندرويد التي قامت جوجل بإصلاحها، يتم استغلال ثلاث منها في هجمات مستهدفة. الثغرة الأمنية المعينة CVE-2023-26083 هي تسرب للذاكرة يؤثر على برنامج تشغيل وحدة معالجة الرسومات Arm Mali لشرائح Bifrost وAvalon وValhall.
تم استغلال الثغرة الأمنية في هجوم أدى إلى تثبيت برامج تجسس على أجهزة Samsung في ديسمبر 2022. وقد اعتُبر الأمر خطيرًا بما يكفي لدرجة أن وكالة الأمن السيبراني وأمن البنية التحتية (CISA - الولايات المتحدة) أصدرت أمر تصحيح للوكالات الفيدرالية في أبريل 2023.
ثغرة أمنية حرجة أخرى، CVE-2021-29256، شديدة الخطورة وتؤثر على إصدارات محددة من برامج تشغيل نواة وحدة معالجة الرسوميات Bifrost وMidgard Arm Mali. تتيح هذه الثغرة الأمنية لشخص غير مخول الوصول بشكل غير مصرح به إلى بيانات حساسة ورفع الامتيازات إلى أعلى مستوى.
الثغرة الثالثة المستغلة هي CVE-2023-2136 عالية الخطورة والتي تقع في Skia، مكتبة الرسومات ثنائية الأبعاد مفتوحة المصدر متعددة الأنظمة من Google. تم التعرف عليه في البداية باعتباره ثغرة أمنية في متصفح Chrome تسمح للمهاجمين عن بعد بالهروب من صندوق الحماية ونشر التعليمات البرمجية عن بعد على أجهزة Android.
يعالج تصحيح أمان Android لشهر يوليو من Google أيضًا الثغرة الأمنية الحرجة CVE-2023-21250، والتي تؤثر على مكونات نظام Android. قد تؤدي هذه المشكلة إلى تنفيذ التعليمات البرمجية عن بعد دون تفاعل المستخدم أو الحصول على امتيازات إضافية.
إن الأخطاء المكتشفة مثيرة للقلق لأنها تؤثر حتى على أجهزة Android القديمة.
يتم نشر تحديثات الأمان هذه على مستويين. يركز التصحيح الأول في الأول من يوليو على مكونات Android الأساسية، حيث يعالج 22 ثغرة أمنية في مكونات الإطار والنظام. تم إصدار التصحيح الثاني في 5 يوليو لإصلاح الأخطاء في النواة والمكونات المغلقة المصدر، ومعالجة 20 ثغرة أمنية في مكونات النواة، وشرائح Arm، وتقنية التصوير في معالجات MediaTek وQualcomm.
ومع ذلك، قد يمتد تأثير الثغرات الأمنية إلى ما هو أبعد من إصدارات Android المدعومة (11 و12 و13)، مما قد يؤثر على الإصدارات الأقدم من نظام التشغيل التي لم تعد تتلقى الدعم الرسمي.
وأصدرت جوجل أيضًا تصحيحات أمنية تعالج 14 ثغرة أمنية في مكونات أجهزة Pixel. تسمح اثنتان من هذه الثغرات الحرجة برفع الامتيازات وشن هجمات رفض الخدمة.
[إعلان رقم 2]
رابط المصدر
تعليق (0)