Google исправляет 0Day ядра Android, использовавшийся в целевых атаках

Обновления безопасности Android в этом месяце исправляют 46 уязвимостей, включая уязвимость удаленного выполнения кода (RCE) высокой степени опасности, используемую в целевых атаках.

Нулевой день, отслеживаемый как CVE-2024-36971, представляет собой слабое место в управлении сетевыми маршрутами ядра Linux, которое используется после освобождения (UAF). Для ее успешной эксплуатации требуются привилегии System execution, и она позволяет изменять поведение определенных сетевых соединений.

Google утверждает, что "есть признаки того, что CVE-2024-36971 может подвергаться ограниченной, целенаправленной эксплуатации", причем угрожающие субъекты могут использовать ее для получения возможности выполнения произвольного кода без участия пользователя на непропатченных устройствах.

Клеман Лецинь (Clément Lecigne), исследователь безопасности из группы анализа угроз (TAG) Google, был назван тем, кто обнаружил и сообщил об этой уязвимости нулевого дня.

Несмотря на то, что Google пока не предоставила подробностей о том, как именно эксплуатируется уязвимость и какой угрожающий субъект стоит за атаками, исследователи безопасности Google TAG часто выявляют и раскрывают "нулевые дни", используемые в атаках на государственное ПО для слежки за высокопоставленными лицами.

"Исправления исходного кода для этих проблем будут выпущены в репозитории Android Open Source Project (AOSP) в ближайшие 48 часов", - говорится в сообщении.

Ранее в этом году Google исправила еще одну уязвимость "нулевого дня", используемую в атаках: серьезный дефект повышения привилегий (EoP) в прошивке Pixel, отслеживаемый как CVE-2024-32896 компанией Google и CVE-2024-29748 компанией GrapheneOS (которая нашла и сообщила о дефекте).

Криминалистические компании использовали эту уязвимость для разблокировки Android-устройств без PIN-кода и получения доступа к сохраненным данным.

Google выпустила два набора исправлений для августовских обновлений безопасности - 2024-08-01 и 2024-08-05. Последний включает в себя все исправления безопасности из первого набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и ядра, например, критическую уязвимость (CVE-2024-23350) в компоненте с закрытым исходным кодом Qualcomm.

Примечательно, что не все устройства Android могут нуждаться в уязвимостях безопасности, которые относятся к уровню исправления 2024-08-05. Производители устройств также могут отдавать приоритет развертыванию начального уровня исправлений, чтобы упростить процесс обновления. Однако это не обязательно свидетельствует о повышенном риске потенциальной эксплуатации.

Важно отметить, что в то время как устройства Google Pixel получают ежемесячные обновления безопасности сразу после выпуска, другим производителям может потребоваться некоторое время для развертывания патчей. Такая задержка необходима для дополнительного тестирования патчей безопасности, чтобы обеспечить совместимость с различными аппаратными конфигурациями.

05.08.2024
https://www.bleepingcomputer.com/ne...ernel-zero-day-exploited-in-targeted-attacks/​