Google tung bản vá 3 lỗ hổng đang bị khai thác trên Android

Theo The Hacker News, trong số các lỗ hổng trong Android được Google tung bản vá, có 3 lỗi đang được khai thác từ các cuộc tấn công có chủ đích. Một lổ hỗng được gán mã CVE-2023-26083 là lỗi rò rỉ bộ nhớ ảnh hưởng đến trình điểu khiển (driver) của GPU Arm Mali cho chip Bifrost, Avalon và Valhall.

Lỗ hổng này đã bị khai thác trong một cuộc tấn công giúp cài phần mềm gián điệp trên các thiết bị Samsung vào tháng 12.2022. Nó được coi là đủ nghiêm trọng để Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA - Mỹ) ban hành lệnh vá lỗi cho các cơ quan liên bang vào tháng 4.2023.

Một lỗ hổng nghiêm trọng khác có mã CVE-2021-29256 có mức độ nghiêm trọng cao, ảnh hưởng đến các phiên bản cụ thể của driver nhân GPU Bifrost và Midgard Arm Mali. Lỗi này giúp người không có đặc quyền truy cập trái phép vào dữ liệu nhạy cảm và leo thang đặc quyền lên cấp cao nhất.

Lỗ hổng bị khai thác thứ ba là CVE-2023-2136 có mức độ nghiêm trọng cao nằm trong Skia, thư viện đồ họa 2D mã nguồn mở đa nền tảng của Google. Ban đầu nó được xác định là lỗ hổng zero-day trong trình duyệt Chrome, cho phép kẻ tấn công từ xa chiếm quyền để thoát khỏi hộp cát (sandbox) và triển khai mã từ xa trên thiết bị Android.

Bản vá bảo mật Android tháng 7 của Google cũng đề cập lỗ hổng nghiêm trọng CVE-2023-21250, ảnh hưởng đến thành phần hệ thống Android. Sự cố này có thể giúp thực thi mã từ xa mà không có sự tương tác của người dùng hoặc các đặc quyền bổ sung.

CHỤP MÀN HÌNH

Những bản cập nhật bảo mật này được triển khai ở hai cấp. Bản vá đầu tiên vào ngày 1.7 tập trung vào các thành phần cốt lõi của Android, giải quyết 22 lỗi bảo mật trong các thành phần khung (Framework) và hệ thống. Bản vá thứ hai được phát hành vào ngày 5.7 sửa lỗi cho thành phần nhân và nguồn đóng, giải quyết 20 lỗ hổng trong các thành phần nhân, chip Arm, công nghệ hình ảnh của vi xử lý MediaTek và Qualcomm.

Dù vậy tác động của các lỗ hổng có thể vượt ra ngoài các phiên bản Android được hỗ trợ (11, 12 và 13), có khả năng ảnh hưởng đến các phiên bản hệ điều hành cũ hơn - không còn nhận được hỗ trợ chính thức.

Google cũng tung ra các bản vá bảo mật xử lý 14 lỗ hổng trong các thành phần cho các thiết bị Pixel. Hai trong số những lổ hổng nghiêm trọng này giúp nâng cao đặc quyền và tấn công từ chối dịch vụ.