В рамках ноябрьского обновления безопасности компания Google устранила две уязвимости нулевого дня, которые активно использовались на устройствах Android, а в общей сложности исправлена 51 уязвимость.
Две уязвимости с идентификаторами CVE-2024-43047 и CVE-2024-43093, помечены как эксплуатируемые в ограниченных таргетированных атаках.
В бюллетени безопасности Google сообщает:
Есть признаки того, что следующие уязвимости могут подвергаться ограниченной целевой эксплуатации.
Уязвимость CVE-2024-43047 представляет собой проблему использования данных после освобождения памяти (use-after-free) высокой степени опасности в закрытых компонентах Qualcomm в ядре Android, что может привести к повышению привилегий.
Впервые об этой уязвимости стало известно в начале октября 2024 года. Qualcomm отметила ее как проблему в службе цифрового сигнального процессора (Digital Signal Processor, DSP).
CVE-2024-43093 также является уязвимостью высокой степени опасности, которая позволяет повысить привилегии, но затрагивает компонент Android Framework и обновления системы Google Play, особенно в интерфейсе Documents UI.
Хотя Google не раскрывает подробности о том, как были использованы уязвимости, исследователи из Amnesty International установили, что CVE-2024-43047 могла использоваться в таргетированных шпионских атаках.
Среди остальных 49 устраненных уязвимостей только одна — CVE-2024-38408 — классифицирована как критическая и также затрагивает собственные компоненты Qualcomm.
Исправленные уязвимости затрагивают версии Android 12, Android 13, Android 14 и Android 15, причем некоторые из них ограничены конкретными версиями ОС.
Google выпускает два уровня исправлений ежемесячно — в данном случае 1 ноября (уровень 2024-11-01) и 5 ноября (уровень 2024-11-05).
Первый уровень исправлений устраняет основные уязвимости Android, на этот раз их 17, а второй включает исправления как для системы, так и для сторонних поставщиков (Qualcomm, MediaTek и др.), добавляя еще 34 исправления.
Чтобы установить последнее обновление, перейдите в Настройки > Система > Обновления ПО > Обновление системы или откройте Настройки > Безопасность и конфиденциальность > Система и обновления > Обновление безопасности. Для применения обновления потребуется перезагрузка устройства.
Android 11 и более старые версии больше не поддерживаются, но могут получать обновления для критически важных уязвимостей, активно эксплуатируемых через обновления системы Google Play.
Лучшим решением для устройств, работающих на более старых версиях Android, будет либо заменить их на новые модели, либо использовать стороннюю сборку Android, включающую последние исправления безопасности.
Обновления программ, что нового
• Обновление Intel ARC Game On Driver 32.0.101.6732 Non-WHQL. Поддержка The Last of Us Part II Remastered
• Qualcomm анонсировала Snapdragon 8s Gen 4 для среднего сегмента
• Intel прекращает поддержку приложения Intel Unison для связи смартфонов Android и iPhone с Windows 11
• Релиз Chrome 135: обновления безопасности и новые функции
• Android 16 может получить функцию безопасности, аналогичную iOS 18
• «Яндекс» запустил ИИ-сервис «Нейроэксперт» на базе YandexGPT 5 Pro. Что умеет конкурент Google NotebookLM и ChatGPT