Обновления безопасности Android, декабрь 2023: исправлена критическая уязвимость «нулевого клика»

Компания Google объявила, что обновления безопасности для Android 11, Android 12, Android 13 и Android 14 за декабрь 2023 года устраняют 85 уязвимостей, включая критическую ошибку удаленного выполнения кода, для эксплуатации которой не требуется взаимодействие с пользователем.

Ошибка удаленного выполнения с «нулевым кликом», отслеживаемая как CVE-2023-40088, была обнаружена в системном компоненте Android и не требует дополнительных привилегий для использования.

Хотя компания еще не раскрыла, были ли зафиксированы реальные атаки, злоумышленники могут использовать уязвимость для выполнения произвольного кода без взаимодействия с пользователем.

В бюллетени по безопасности сообщается:

Наиболее серьезной из исправленных проблем является критическая уязвимость безопасности в системном компоненте, которая может привести к удаленному выполнению кода без необходимости дополнительных привилегий выполнения. Для эксплуатации не требуется взаимодействие с пользователем.

Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что платформа и средства смягчения последствий отключены в целях разработки или в сценарии их успешного обхода.

В этом месяце исправлены еще 84 уязвимости безопасности, три из которых с идентификаторами CVE-2023-40077, CVE-2023-40076 и CVE-2023-45866 связаны с критическими ошибками повышения привилегий и раскрытия информации в компонентах Android Framework и System.

Четвертая критическая уязвимость CVE-2022-40507 была устранена в компонентах Qualcomm с закрытым исходным кодом.

Уязвимости «нулевого дня», используемые в атаках

В октябре этого года Google исправил две уязвимости безопасности (CVE-2023-4863 и CVE-2023-4211), которые использовались как уязвимости нулевого дня: первая в библиотеке с открытым исходным кодом libwebp, а вторая затронула несколько GPU-драйверов Arm Mali, используемых во многих моделях устройств Android.

Сентябрьские обновления безопасности Android исправили еще одну активно эксплуатируемую уязвимость нулевого дня CVE-2023-35674 в компоненте Android Framework, которая позволяет злоумышленникам повышать привилегии, не требуя дополнительных привилегий выполнения или взаимодействия с пользователем.

Традиционно Google выпустил два набора патчей в декабрьском месяце обновлений безопасности, обозначенных как уровни безопасности 2023-12-01 и 2023-12-05. Патч 2023-12-05 включает в себя все исправления из первого набора и дополнительные патчи для сторонних компонентов с закрытым исходным кодом и компонентов ядра. Примечательно, что данные патчи могут потребоваться не всем устройствам Android.

Производители устройств могут отдать приоритет развертыванию начального уровня исправлений, чтобы упростить процедуру обновления, хотя это не предполагает повышенного риска потенциальной эксплуатации.

Важно отметить, что, за исключением устройств Google Pixel, которые получают ежемесячные обновления безопасности сразу после выпуска, другим производителям требуется некоторое время перед релизом. Эта задержка необходима для дополнительного тестирования исправлений, чтобы убедиться в отсутствии проблем совместимости с различными конфигурациями оборудования.

Нужно ли устанавливать обновления безопасности?

В наше время смартфоны являются неотъемлемой частью нашей жизни. Мы используем их для работы, общения, заказа еды, банковских операций и многого другого. Но с таким количеством персональных информаций, которые мы храним на наших устройствах, важно обеспечить их максимальную безопасность.

Именно поэтому установка обновлений безопасности для Android смартфонов является крайне важным шагом в защите конфиденциальной информации. Эти обновления содержат исправления для обнаруженных уязвимостей в программном обеспечении, которые могут быть использованы злоумышленниками для доступа к вашим данным.

Также, установка обновлений безопасности может повысить производительность вашего устройства и улучшить его функциональность. Это поможет избежать неполадок и сбоев в работе мобильного устройства.

Мы советуем, не игнорировать уведомления об обновлениях безопасности и устанавливать их, как только они появляются. Это простой шаг, который может повысить уровень вашей безопасности в Интернете.

Уровень исправлений безопасности на устройствах Android можно посмотреть в разделе О телефоне > Обновление системы. Он отображается в виде даты, например 1 сентября 2023 года. Это значит, что на устройстве установлены все исправления безопасности, выпущенные до сентября 2023 года. Google публикует ежемесячные обновления, которые затем производители встраивают в обновления для своих устройств.

На некоторых устройствах обновления придется подождать несколько дней или даже недель. Часть вендоров публикует график выпуска обновлений на официальных веб-сайтах.

Обновления Google Pixel

Google выпустила ежемесячное обновление программного обеспечения за ноябрь 2023 года для Google Pixel. Глобальные версии смартфонов Google Pixel получат следующие номера сборки для последнего обновления безопасности Pixel:

• Pixel 5a (5G):    UQ1A.231205.014
• Pixel 6:                UQ1A.231205.015
• Pixel 6 Pro:        UQ1A.231205.015
• Pixel 6a:              UQ1A.231205.015
• Pixel 7:                UQ1A.231205.015
• Pixel 7 Pro:        UQ1A.231205.015
• Pixel 7a:              UQ1A.231205.015
• Pixel Tablet:       UQ1A.231205.015
• Pixel Fold:           UQ1A.231205.015
• Pixel 8:                UQ1A.231205.015
• Pixel 8 Pro:        UQ1A.231205.015

В декабрьском обновлении безопасности 2023 года для устройств Google Pixel были внесены следующие улучшения и исправления:

• Приложения: Общие улучшения стабильности и производительности системных приложений. Особенно это касается Pixel 8 и Pixel 8 Pro.
• Аудио: Исправление проблемы с подключением слуховых аппаратов к телефону во время звонков в определенных условиях.
• Батарея и зарядка: Общие улучшения процесса зарядки и использования батареи для Pixel 8 Pro, Pixel 8, Pixel Fold и Pixel Tablet.
• Биометрия: Исправлена проблема с отпечатком пальца при первой попытке, когда включен дисплей постоянного действия. Применимо к моделям Pixel 6, 6 Pro, 6a, 7, 7 Pro, 7a, Fold, 8, и 8 Pro.
• Bluetooth: Исправлены проблемы с поиском Bluetooth и его функционированием в определенных условиях.
• Камера: Общие улучшения стабильности камеры в определенных условиях.
• Дисплей и графика: Исправлены проблемы с визуальными артефактами, мерцанием экрана и отображением эмодзи, особенно на Pixel 8 и Pixel 8 Pro.
• Framework: Общие улучшения системной стабильности и производительности.
• Локация и GPS: Исправление проблемы с нестабильностью GPS.
• Датчики: Исправление непрерывной вибрации телефона в определенных условиях.
• Система: Исправлены проблемы с запуском сторонних приложений и уведомлениями о зарядке батареи.
• Телефония: Улучшения стабильности и производительности сетевого подключения, а также исправление проблем с голосовыми вызовами через Wi-Fi.
• Пользовательский интерфейс: Исправлены различные проблемы с интерфейсом, включая черные экраны, некорректное отображение времени и даты, проблемы с уведомлениями и другие. Особенно это касается Pixel Fold и Pixel Tablet.
• Wi-Fi: Общие улучшения стабильности и производительности Wi-Fi.

Эти исправления доступны для всех поддерживаемых устройств Pixel, если не указано иное.

С полным списком патчей и исправленных уязвимостей можно ознакомиться в бюллетене по обновлениям Pixel за ноябрь 2023 года. Также, поддерживаемые устройства получили обновления не связанные с безопасностью, но включающие различные исправления ошибок и улучшения. С полным списком изменений можно ознакомиться в анонсе на странице сообщества Google Pixel.

Обновления безопасности HUAWEI EMUI и Magic UI

Компания Huawei ежемесячно выпускает обновления системы безопасности для флагманских моделей смартфонов и планшетов. Обновление системы безопасности для HUAWEI EMUI и Magic UI содержит патчи библиотек Huawei и сторонних библиотек. Также, ежемесячные обновления выпущены и для устройств под управление HarmonyOS.

Список устройств, которые получат обновления в этом месяце, отличается для разных стран и регионов и может изменяться. Huawei сообщает, что в этом месяце обновления запланированы для следующих моделей устройств:

• Серия HUAWEI Mate: HUAWEI Mate 50, HUAWEI Mate 50 Pro, HUAWEI Mate Xs 2, HUAWEI Mate X3
• Серия HUAWEI P: HUAWEI P50, HUAWEI P50 Pro, HUAWEI P50 Pocket Premium Edition, HUAWEI P50 Pocket, HUAWEI P60 Pro, HUAWEI P60
• Серия HUAWEI nova: HUAWEI nova 8i, HUAWEI nova 8, HUAWEI nova 9, HUAWEI nova 9 SE, HUAWEI nova 10 SE, HUAWEI nova 10, HUAWEI nova 10 Pro, HUAWEI nova 11 Pro, HUAWEI nova 11

Обновления безопасности Samsung

Компания Samsung выпускает ежемесячные, ежеквартальные и полугодовые обновления безопасности для своих мобильных устройств. Обновления включают исправления уязвимостей от Google и Samsung. Устройства, выпущенные в 2019 году или позже, будут поддерживаться обновлениями безопасности в течение как минимум четырех лет с момента выпуска, а некоторые более новые модели будут получать обновления безопасности в течение пяти лет.

Ежемесячные обновления безопасности получат следующие устройства:

• Galaxy Z Fold2 5G, Galaxy Z Fold3 5G, Galaxy Z Flip3 5G, Galaxy Z Fold4, Galaxy Z Flip4, Galaxy Z Fold5, Galaxy Z Flip5, W23, W23 flip, W24, W24 Flip
• Galaxy S20, Galaxy S20 5G, Galaxy S20+, Galaxy S20+ 5G, Galaxy S20 Ultra, Galaxy S20 Ultra 5G, Galaxy S20 FE, Galaxy S20 FE 5G, Galaxy S21 5G, Galaxy S21+ 5G, Galaxy S21 Ultra 5G, Galaxy S21 FE 5G, Galaxy S22, Galaxy S22+, Galaxy S22 Ultra, Galaxy S23, Galaxy S23+, Galaxy S23 Ultra
• Galaxy Note20, Galaxy Note20 5G, Galaxy Note20 Ultra, Galaxy Note20 Ultra 5G
• Enterprise Models: Galaxy A52, Galaxy A52 5G, Galaxy A52s 5G, Galaxy A53 5G, Galaxy A54 5G, Galaxy Xcover5, Galaxy Xcover6 Pro

Обновления за декабрь 2023 года (SMR-DEC-2023) включают исправления от Google и Samsung, а также исправления, которые получены от поставщиков наборов микросхем.

С полным списком патчей и исправлений, а также списком поддерживаемых устройств, можно ознакомиться в бюллетене безопасности Samsung за декабрь 2023 года.

Обновления безопасности Xiaomi

Компания Xiaomi выпускает регулярные обновлении безопасности для поддерживаемых мобильных устройств линеек Xiaomi, Redmi Note и POCO. Список поддерживаемых устройств доступен на официальном сайте.

Обновления за декабрь 2023 года включают исправления стабильности MIUI на базе Android 12, Android 13 и Android 14, повышение безопасности системы, интеграцию патчей безопасности Android за последние месяца, а также различные улучшения и исправления.

Обновления безопасности Nokia

В декабре 2023 года компания HMD Global, которая владеет брендом Nokia, продолжает регулярно обновлять информацию о безопасности поддерживаемых мобильных устройств, работающих под управлением Android.

Если вы владелец смартфона Nokia, то можете перейти на страницу технического обслуживания Nokia Smartphone Security и получить информацию о последних обновлениях и статусе поддержки. Для этого вам нужно выбрать модель своего устройства из списка.

Обновления безопасности, которые выпускает компания HMD Global, важны для того, чтобы защитить ваши данные и персональные информацию. Они также включают исправления уязвимостей от Google и помогают улучшить общую производительность устройства и исправлять неполадки.

Поэтому, если вы хотите защитить свой смартфон Nokia и получить все возможные преимущестства от последних обновлений, не забудьте периодически проверять статус поддержки своего устройства и устанавливать последние обновления.

Другие обновления

Также, информацию об обновлениях и сроках поддержки мобильных устройств с операционной системой Android публикуют компании ASUS, Lenovo, Motorola, OnePlus, OPPO, realme, Xperia и Vivo.