Google, tüm Android cihazlar için bir dizi yama ve güvenlik güncellemesi yayınlarken CVE-2023-40088 olarak takip edilen sıfırıncı gün tıklamalı RCE (uzaktan kod yürütme) hatası Android’in Sistem bileşeninde bulundu ve istismar edilmesi için ek ayrıcalıklar gerektirmiyor. Şirket henüz saldırganların bu güvenlik açığını hedef alıp almadığını açıklamamış olsa da, tehdit aktörleri kullanıcı etkileşimi olmadan keyfi kod yürütme elde etmek için bu açıktan yararlanabilir.
Google’dan yapılan teknik açıklamada “Bu sorunların en ciddisi, Sistem bileşeninde bulunan ve ek yürütme ayrıcalıkları gerektirmeden uzaktan (yakın/bitişik) kod yürütülmesine yol açabilecek kritik bir güvenlik açığıdır. Açıktan yararlanmak için kullanıcı etkileşimi gerekmemektedir. Önem derecesi değerlendirmesi, platform ve hizmet hafifletmelerinin geliştirme amacıyla kapatıldığı veya başarılı bir şekilde atlandığı varsayıldığında, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde yaratacağı etkiye dayanmaktadır,” deniliyor.
Google’ın yayınladığı Aralık ayı güvenlik güncellemelerinde üçü (CVE-2023-40077, CVE-2023-40076 ve CVE-2023-45866) Android Framework ve Sistem bileşenlerindeki kritik önemdeki ayrıcalık yükseltme ve bilgi ifşası hataları olmak üzere toplam 85 güvenlik açığı daha yamanmış oldu.
Sıfırıncı gün açıkları giderek artıyor
İki ay önce, Ekim ayında, Google ayrıca sıfırıncı gün açığı olarak istismar edilen iki güvenlik açığını (CVE-2023-4863 ve CVE-2023-4211) yamamıştı. Bunlardan ilki libwebp açık kaynak kütüphanesinde, ikincisi ise çok çeşitli Android cihaz modellerinde kullanılan birden fazla Arm Mali GPU sürücü sürümünü etkiliyordu.
Eylül Android güvenlik güncellemeleri, saldırganların ek yürütme ayrıcalıkları veya kullanıcı etkileşimi gerektirmeden ayrıcalıklarını artırmalarına olanak tanıyan Android Framework bileşenindeki aktif olarak istismar edilen bir başka sıfırıncı gün (CVE-2023-35674) açığı yamanmıştı.
Google Aralık ayı güvenlik güncellemeleri ile birlikte 2023-12-01 ve 2023-12-05 güvenlik seviyeleri olarak tanımlanan iki yama seti yayınladı. İkincisi, ilk setteki tüm düzeltmeleri ve üçüncü taraf kapalı kaynak ve Kernel bileşenleri için ek yamaları içeriyor. Cihaz satıcıları, güncelleme prosedürünü kolaylaştırmak için ilk yama seviyesinin dağıtımına öncelik verebilir ve ikinci yama seti ön-yüklü olarak gelmeyebilir ancak bu durum potansiyel bir istismar riskinin arttığını göstermez.
Ayrıca, piyasaya sürüldükten hemen sonra aylık güvenlik güncellemelerini alan Google Pixel cihazları dışında, diğer üreticilerin yamaları yayınlamadan önce biraz zamana ihtiyaç duyacağını da belirtmek gerekiyor. Bu gecikme, çeşitli donanım yapılandırmalarıyla herhangi bir uyumsuzluk olmadığından emin olmak için güvenlik yamalarının ek testleri için gereklidir. Dolayısıyla yayınlanan yamalar tüm cihazlar için hemen uygulanabilir durumda olmayabiliyor.
