گوگل بروزرسانی خودش برای فوریه 2024 ، با اصلاح 46 آسیب پذیری در اندروید منتشر کرده. همه آسیب پذیری ها شدت بالا دارن به غیر از یک موردشون که شدت بحرانی داره. گوگل در بروزرسانی این ماه، موردی رو بعنوان زیرودی مشخص نکرده.
قبل از اینکه آسیب پذیری ها رو بررسی کنیم چند نکته مهم در خصوص بروزرسانی رو بررسی کنیم :
- مورد اول اینکه ، گوگل جزییات زیادی در خصوص آسیب پذیری ها ،منتشر نمیکنه تا کاربران فرصت کافی برای بروزرسانی و ایمن کردن دستگاهشون داشته باشن.
- مورد دوم هم اینکه اگه از اندروید 10 و پایینتر استفاده میکنید، به دلیل اینکه این نسخه ها، به پایان عمرشون رسیدن ، دیگه توسط گوگل پشتیبانی نمیشن و بنابراین این بروزرسانی ها برای دستگاه شما اعمال نمیشه.
- برای بروزرسانی میتونید از یکی از روش های زیر استفاده کنید:
- Settings → System → System Update → Check for updates
- Settings → Security&Privacy → Updates → Security update
- اگه از نسخه های 10 و پایینتر استفاده میکنید ، میتونید از توزیعهای Third-Party اندروید مانند LineageOS استفاده کنید.
- نوع آسیب پذیری ها رو هم میتونید از جدول زیر مشاهده کنید :
- RCE : مشخص کننده آسیب پذیری های اجرای کد از راه دور
- EoP : مشخص کننده آسیب پذیری های افزایش امتیاز
- ID : مشخص کننده آسیب پذیری های افشای اطلاعات
- DoS : مشخص کننده آسیب پذیری های منع سرویس
- N/A : مشخص کننده آسیب پذیری هایی که دسته بندیشون در دسترس نیست.
کمک یک میلیون دلاری گوگل به بنیاد Rust:
گوگل یه کمک یک میلیون دلاری با هدف ایجاد سازگاری و ارتباط بین کدهای Rust و ++C ، به بنیاد Rust کرده. این کمپانی از سال 2021 به بنیاد Rust ملحق شده و بدلیل مزایای این زبان برنامه نویسی بخصوص در رفع آسیب پذیری های مرتبط با مموری، از این زبان برنامه نویسی در اندروید و محصولات مختلفش استفاده کرده.
براساس بررسی آماری آسیب پذیری ها، این زبان جلوی صدها آسیب پذیری در اکوسیستم اندروید رو گرفته. Dave Kleidermacher مسئول بخش امنیت و حریم خصوصی اندروید در خصوص کمک یک میلیون دلاری گفته که هدف این کمک مالی گسترش پذیری Rust در سایر مولفه های این پلتفرم هست.
گوگل گفته به لطف توسعه ابزارهای مختلف و پذیرش این زبان، بهبود سازگاری و ارتباط Rust با اندروید و ++C سریعتر پیش میره. با این حال، با توجه به اینکه بیشتر پیشرفتها عمدتاً توسط ابزارهایی انجام میشه که از یک پروژه یا شرکت خاص پشتیبانی میکنه، گوگل میخواد در زمینه های مورد نیاز برای تسریع پذیرش کلی Rust سرمایهگذاری و در اون همکاری کنه.
گوگل همچنین در حال جمع آوری و ارزیابی Rust crates های استفاده شده در پروژه های متن باز گوگله.
پشتیبانی گوگل به بنیاد Rust این امکان رو داده تا یه نوآوری با عنوان Interop رو راه اندازی کنه تا سرمایه گذاری در Rust رو برای سازمانهای علاقمند آسان تر کنه. اولین وظیفه این ابتکار جدید تهیه پیش نویس یک پیشنهاد کاریه که بین سازمان های عضو پروژه Rust مورد بحث قرار خواهد گرفت.
بنیاد Rust احتمالاً استخدام مهندسین Interop Initiative (مهندسینی که دارای تخصص فنی و تجربه بالایی در زمینه برقراری تعاملپذیری بین سیستمهای مختلف نرمافزاری دارن) و تخصیص منابع برای بهبود قابلیت همکاری، ایجاد یکپارچه سازی سیستم، استفاده از هوش مصنوعی برای انتقال کد از ++C به Rust یا ترکیبی از این موارد رو توصیه کنه.
در نهایت گوگل اعلام کرده: بهبود ایمنی حافظه در سراسر صنعت نرمافزار یکی از چالش های کلیدی فناوری زمان ما است، و ما از دیگران در جامعه و صنعت دعوت میکنیم تا در همکاری با یکدیگر برای ایمن کردن اکوسیستم متن باز برای همه به ما ملحق بشن.
آسیب پذیری بخش Framework :
شدیدترین آسیب پذیری ها در این بخش منجر به افزایش امتیاز محلی بدون نیاز به امتیاز اجرایی اضافی میشه.
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2024-0029 | A-305664128 | EoP | High | 13 |
| CVE-2024-0032 | A-283962634 [2] | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2024-0034 | A-298094386 | EoP | High | 11, 12, 12L, 13 |
| CVE-2024-0036 | A-230492947 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2024-0038 | A-309426390 | EoP | High | 14 |
| CVE-2024-0041 | A-300741186 | EoP | High | 14 |
| CVE-2023-40122 | A-286235483 | ID | High | 11, 12, 12L, 13, 14 |
| CVE-2024-0037 | A-292104015 | ID | High | 11, 12, 12L, 13, 14 |
| CVE-2024-0040 | A-300007708 | ID | High | 11, 12, 12L, 13, 14 |
آسیب پذیری بخش System :
شدیدترین آسیب پذیری ها در این بخش منجر به اجرای کد از راه دور بدون نیاز به امتیاز اجرایی اضافی میشه.
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2024-0031 | A-297524203 | RCE | Critical | 11, 12, 12L, 13, 14 |
| CVE-2024-0014 | A-304082474 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2024-0033 | A-294609150 [2] | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2024-0035 | A-300903792 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40093 | A-279055389 [2] | ID | High | 11, 12, 12L, 13, 14 |
| CVE-2024-0030 | A-276898739 | ID | High | 11, 12, 12L, 13, 14 |
آسیب پذیری بخش ARM:
این آسیب پذیری ها روی مولفه های ARM تاثیر میزارن و شدت و جزییات اونارو کمپانی ARM ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-5091 | A-298150556 * | High | Mali |
| CVE-2023-5249 | A-301630648 * | High | Mali |
| CVE-2023-5643 | A-308188986 * | High | Mali |
آسیب پذیری بخش MediaTek :
این آسیب پذیری ها روی مولفه های MediaTek تاثیر میزارن و شدت و جزییات اونارو کمپانی MediaTek ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2024-20011 | A-314698315 M-ALPS08441146 * |
High | alac decoder |
| CVE-2024-20006 | A-314707751 M-ALPS08477148 * |
High | DA |
| CVE-2024-20007 | A-314698312 M-ALPS08441369 * |
High | mp3 decoder |
| CVE-2024-20009 | A-314698313 M-ALPS08441150 * |
High | alac decoder |
| CVE-2024-20010 | A-314698314 M-ALPS08358560 * |
High | keyInstall |
| CVE-2023-32841 | A-317829109 M-MOLY01128524 * |
High | 5G Modem |
| CVE-2023-32842 | A-317826159 M-MOLY01130256 * |
High | 5G Modem |
| CVE-2023-32843 | A-317829110 M-MOLY01130204 * |
High | 5G Modem |
| CVE-2024-20003 | A-317829112 M-MOLY01191612 * |
High | 5G Modem |
آسیب پذیری بخش Unisoc :
این آسیب پذیری ها روی مولفه های Unisoc تاثیر میزارن و شدت و جزییات اونارو کمپانی Unisoc ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-49667 | A-314033392 U-2455269 * |
High | Kernel |
| CVE-2023-49668 | A-314032846 U-2455269 * |
High | Kernel |
آسیب پذیری بخش Qualcomm :
این آسیب پذیری ها روی مولفه های Qualcomm تاثیر میزارن و شدت و جزییات اونارو کمپانی Qualcomm ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-43513 | A-303101658 QC-CR#3545432 [2] |
High | Kernel |
| CVE-2023-43516 | A-309461150 QC-CR#3536092 |
High | Video |
| CVE-2023-43520 | A-309461173 QC-CR#3575335 |
High | WLAN |
| CVE-2023-43534 | A-309461218 QC-CR#3575491 QC-CR#3578829 |
High | WLAN |
آسیب پذیری بخش Qualcomm closed-source :
این آسیب پذیری ها روی مولفه های Qualcomm closed-source تاثیر میزارن و شدت و جزییات اونارو کمپانی Qualcomm ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-33046 | A-295038516 * | High | Closed-source component |
| CVE-2023-33049 | A-295039556 * | High | Closed-source component |
| CVE-2023-33057 | A-295039728 * | High | Closed-source component |
| CVE-2023-33058 | A-295038658 * | High | Closed-source component |
| CVE-2023-33060 | A-295039022 * | High | Closed-source component |
| CVE-2023-33072 | A-295038660 * | High | Closed-source component |
| CVE-2023-33076 | A-295039588 * | High | Closed-source component |
| CVE-2023-43518 | A-309460837 * | High | Closed-source component |
| CVE-2023-43519 | A-309461083 * | High | Closed-source component |
| CVE-2023-43522 | A-309461138 * | High | Closed-source component |
| CVE-2023-43523 | A-309460866 * | High | Closed-source component |
| CVE-2023-43533 | A-309461430 * | High | Closed-source component |
| CVE-2023-43536 | A-309461332 * | High | Closed-source component |
منابع :