Google heeft deze week de beveiligingsupdates voor Android-apparaten van april 2023 aangekondigd, met patches voor meer dan 65 kwetsbaarheden, waaronder twee kritieke bugs die leiden tot uitvoering van externe code (RCE).
Het Android-beveiligingsbulletin van Google voor april 2023 beschrijft 26 kwetsbaarheden die zijn opgelost in de Framework- en systeemcomponenten als onderdeel van het beveiligingspatchniveau van 01-04-2023 . De meeste hiervan zijn zeer ernstige tekortkomingen die leiden tot verhoging van bevoegdheden (EoP) of openbaarmaking van informatie.
Twee van de 16 problemen die in System worden aangepakt, zijn echter RCE-bugs van kritieke ernst, die worden gevolgd als CVE-2023-21085 en CVE-2023-21096.
“De ernstigste van deze problemen is een kritieke beveiligingskwetsbaarheid in de systeemcomponent die kan leiden tot externe (proximale/aangrenzende) uitvoering van code zonder dat extra uitvoeringsbevoegdheden nodig zijn. Gebruikersinteractie is niet nodig voor uitbuiting”, legt Google uit.
Het tweede deel van Android's beveiligingsupdate van april 2023 arriveert op apparaten als het beveiligingspatchniveau van 2023-04-05 en bevat oplossingen voor 40 kwetsbaarheden in kernel-, Arm-, Imagination Technologies-, MediaTek-, Unisoc- en Qualcomm-componenten .
Hoewel de meeste van deze bugs als 'zeer ernstig' worden beoordeeld, worden vier van de problemen die van invloed zijn op Qualcomm-componenten als 'kritiek ernstig' beschouwd.
