Android får rettet to kritiske RCE-fejl

Udnyttelse af fejlene kræver ikke brugerinteraktion.

Google har udsendt marts måneds sikkerhedsopdateringer til Android. Opdateringerne retter en række sårbarheder, hvoriblandt der er to kritiske sårbarheder, der påvirker Android Systems version 11, 12 og 13.

Det skriver Bleeping Computer og Security Week.

De to kritiske fejl kan føre fjernafvikling af kode med sig ved udnyttelse. De findes i systemkomponenten og kræver ikke brugerinteraktion for at kunne udnyttes.

Rettelserne udsendes i to separate sikkerhedspatch-pakker. Den første pakke indeholder 31 rettelser til Android-kernekomponenter som Framework, System og Google Play. Det er her, at de to kritiske RCE-fejl ligger. Der er ikke afsløret detaljer om fejlene. De resterende 29 rettelser vedrører eskalering af privilegier i høj grad, videregivelse af oplysninger og problemer med lammelsesangreb.

Den anden pakke indeholder 29 rettelser til Android-kernen og tredjepartsleverandørkomponenter fra MediaTek, Unisoc og Qualcomm. De mest alvorlige er to kritiske fejl på lukkede Qualcomm-komponenter.

For at opdatere din Android-enhed skal man gå til Indstillinger → System → Systemopdatering og klikke på knappen 'Søg efter opdateringer'. Herefter installeres opdateringerne automatisk.

Android 10 eller ældre har nået end-of-life og modtager ikke længere rettelser.

Links:

https://www.bleepingcomputer.com/news/security/android-march-2023-update-fixes-two-critical-code-execution-flaws/

https://www.securityweek.com/androids-march-2023-updates-patch-over-50-vulnerabilities/