Корпорация Google выпустила октябрьский пакет обновлений безопасности для операционной системы Android. Он устраняет сразу 54 выявленных уязвимости. Пять из них имеют статус критических, при этом две могут повлечь удаленное исполнение произвольного кода. Также известно, что две уязвимости - CVE-2023-4863 и CVE-2023-4211 - уже активно используются в реальных атаках.

Уязвимость CVE-2023-4863 является уязвимостью переполнения буфера. Изначально она была ошибочно квалифицирована ка две отдельные уязвимости для Apple iOS и Google Chrome. Однако более глубокий анализ показал, что речь идет об одной и той же проблеме, которая коренится в библиотеке с открытым исходным кодом libwebp, используемой не только iOS и Google Chrome, но и множеством других программных продуктов, включая, например, Firefox, Microsoft Teams и т.д.

Что касается уязвимости CVE-2023-4211, то она связана с использованием памяти после высвобождения (use-after-free) и затрагивает многие версии драйверов графических процессоров Arm Mali. Эксплуатация уязвимости потенциально позволяет злоумышленникам получить доступ к конфиденциальным данным. Всего октябрьский пакет исправлений от Google устраняет 13 уязвимостей платформы Android, 12 проблем в системных компонентах, 2 недостатка Google Play, 5 уязвимостей в компонентах ARM, три проблемы, связанные с чипами MediaTek, одну – с чипами Unisoc и 18 уязвимостей компонентов Qualcomm.

Исправления адресованы устройствам под управлением ОС Android от 11 до 13. Как известно, корпорация Google прекратила поддержку Android 10 и более ранних версий операционной системы. Устройства под их управлением не получат обновления безопасности. Пользователям рекомендуется в этой связи обновить свои устройства. Можно, впрочем, также прошить их сторонними дистрибутивами, которые предлагают поддержку обновлений безопасности для старых моделей. Однако такой подход сам по себе трудно признать вполне безопасным.