Af Eskil Sørensen, 08/06/22
Google har udgivet sikkerhedsopdateringer til Android-enheder, der kører på operativsystemer med numrene 10, 11 og 12. Opdateringerne inkluderer rettelse af 41 sårbarheder, hvoraf fem er vurderet som kritiske. Det skriver Bleeping Computer og The Record m.fl.
Af de fem kritiske sårbarheder er den mest iøjefaldende CVE-2022-20210. Den har ifølge The Record en score på 9,4, og den påvirker et smartphone chipset, der er vidt brugt i enheder fra smartphones til smart tv. Producenten af chipset’et hedder UNISOC og blandt de største smartphone-chipproducenter i verden – efter MediaTek, Qualcomm og Apple. Producenten sidder på 11 pct. af det globale marked.
Android skriver i sin sikkerhedsbulletin, at der er tale om en kritisk sikkerhedssårbarhed i systemkomponenten, der kan føre til fjernafvikling af kode, uden at der er behov for forhøjede privilegier.
To af de andre vigtige rettelser vedrører CVE-2022-20140 og CVE-2022-20145, som ligeledes er kritiske og vedrører eskalering af privilegier. Bleeping computer skriver, at disse sårbarheder kan anvendes af malware, som har sneget sig ind i en enhed via en sti med lavt privilegium, som f.eks. at installere en tilsyneladende harmløs applikation.
I sikkerhedsopdateringer håndteres der også andre RCE-sårbarheder, som kan påvirke henholdsvis Framework, Media Framework og Kernel på visse Android-enheder.
Links:
https://therecord.media/researchers-find-critical-vulnerability-in-widely-used-smartphone-chips/