-
09/04/2020
-
93
-
613 bài viết
Bản cập nhật tháng 4/2023 của Android vá hai lỗ hổng RCE nghiêm trọng
Google vừa phát hành bản cập nhật tháng 4 năm 2023 cho nền tảng hệ điều hành di động để giải quyết 69 lỗ hổng mới ảnh hưởng đến các thiết bị Android, trong đó có 6 lỗ hổng được đánh giá nghiêm trọng.
Các lỗ hổng ảnh hưởng đến nhiều thành phần Android, bao gồm framework, hệ thống, Google Play và kernel, cũng như các thành phần Arm, Imagination Technologies, MediaTek, Unisoc và Qualcomm, bao gồm các thành phần nguồn đóng.
Dưới đây là danh sách một số lỗ hổng cần lưu ý:
Người dùng được khuyến cáo:
Các lỗ hổng ảnh hưởng đến nhiều thành phần Android, bao gồm framework, hệ thống, Google Play và kernel, cũng như các thành phần Arm, Imagination Technologies, MediaTek, Unisoc và Qualcomm, bao gồm các thành phần nguồn đóng.
Dưới đây là danh sách một số lỗ hổng cần lưu ý:
- Lỗ hổng nghiêm trọng trong thành phần hệ thống, có thể cho phép thực thi mã từ xa: CVE-2023-21085 và CVE-2023-21096.
- Lỗ hổng trong framework, có thể cho phép leo thang đặc quyền: CVE-2023-21081, CVE-2023-21088, CVE-2023-21089, CVE-2023-21092, CVE-2023-21094, CVE-2023-21097, CVE-2023-21098, CVE-2023-21087, CVE -2023-21090, CVE-2023-20950.
- Lỗ hổng trong framework, có thể cho phép từ chối dịch vụ: CVE-2023-21087, CVE-2023-21090.
- Lỗ hổng trong thành phần hệ thống, có thể cho phép leo thang đặc quyền: CVE-2022-20463, CVE-2023-20967, CVE-2023-21084, CVE-2023-21086, CVE-2023-21093, CVE-2023-21099, CVE-2023-21100.
- Lỗ hổng trong thành phần hệ thống, có thể cho phép tiết lộ thông tin: CVE-2022-20471, CVE-2023-20909, CVE-2023-20935, CVE-2023-21080, CVE-2023-21082, CVE-2023-21083.
- Lỗ hổng trong thành phần hệ thống, có thể cho phép từ chối dịch vụ: CVE-2023-21091.
Người dùng được khuyến cáo:
- Rà soát hệ thống bị ảnh hưởng và cập nhật các bản vá của Google.
- Rà quét lỗ hổng thường xuyên hơn, sử dụng công cụ quét lỗ hổng tuân thủ chuẩn SCAP. Thực hiện cả quét có xác thực và không xác thực.
- Người dùng không nên truy cập vào các trang web không đáng tin cậy, đặc biệt là các email hoặc tệp đính kèm.
Theo Security Online, Cisecurity