Google, Android için Ekim 2023 güvenlik güncellemesini yayınladı. Bu güncelleme, aktif olarak sömürülen iki CVE dahil olmak üzere 54 benzersiz güvenlik açığını ele alıyor. Sömürülen açıklıklar, CVE-2023-4863 ve CVE-2023-4211 olarak adlandırılmıştır. İşte güncellemenin ana özellikleri:
- CVE-2023-4863, yaygın olarak kullanılan açık kaynak kütüphane libwebp içindeki bir bellek taşma açığıdır. Bu, Chrome, Firefox, iOS, Microsoft Teams ve daha birçok yazılım ürününü etkileyebilir.
- CVE-2023-4211 ise birçok Android cihaz modelinde kullanılan Arm Mali GPU sürücülerini etkileyen aktif olarak sömürülen bir açıktır. Bu açık, yerel olarak hassas verilere erişim veya müdahaleye izin verebilecek bir bellek sorunudur.
Ayrıca, güncelleme Android 11’den 13’e kadar olan sürümlerde toplam 54 düzeltme içeriyor. Bunlardan beşi kritik olarak sınıflandırılmıştır ve ikisi uzaktan kod çalıştırma sorunlarını içeriyor.
Bu güncelleme, iki yama seviyesi şeklinde yayımlanan standart bir sistem izler: birincisi (2023-10-01), temel Android bileşenlere (Framework + System) odaklanırken, ikincisi (2023-10-06) kernel ve kapalı kaynaklı bileşenleri ele alıyor.
Bu yaklaşım, cihaz üreticilerinin donanım modelleri için ilgili güncellemeleri seçici olarak uygulamalarına olanak tanır ve bu da güncellemeleri daha hızlı hale getiriyor.
Android 10 ve daha eski sürümler artık desteklenmiyor, ancak bazı yeni düzeltilen güvenlik açıklıklarının kapsamına bağlı olarak etkilenebilirler.
Bu nedenle, eski Android sistemlerini kullanan kullanıcılara daha yeni bir model yükseltmeleri veya cihazlarını modellerine uygun güvenlik güncellemeleri sunan üçüncü taraf bir Android dağıtımı ile yeniden flashlamaları öneriliyor.