- Bản cập nhật tháng 6 cho hệ điều hành Android đã giải quyết hơn 50 lỗ hổng, bao gồm lỗ hổng GPU Arm Mali đang bị các bên cung cấp phần mềm gián điệp khai thác.
Lỗ hổng có mã định danh CVE-2022-22706, điểm CVSS 7,8, là sự cố về trình điều khiển kernel đã được giải quyết vào tháng 1 năm 2022. Nhưng trước đó, lỗ hổng đã bị nhắm mục tiêu trong các cuộc tấn công và được Google báo cáo vào tháng 3 năm 2023.
Google và các nhà cung cấp Android khác đã mất hơn một năm để phát hành bản vá cho CVE-2022-22706 trong các bản cập nhật phần mềm.
Tháng trước, hãng cũng đã vá một lỗ hổng khác bị các bên cung cấp phần mềm gián điệp khai thác dưới dạng zero-day là CVE-2023-0266. Đây là một lỗ hổng kernel có mức độ trung bình dẫn đến leo thang đặc quyền.
Như thường lệ, bản cập nhật Android tháng 6 năm 2023 được chia thành hai phần. Phần đầu tiên được gửi đến các thiết bị với cấp độ vá lỗi 01-06-2023, khắc phục 10 lỗ hổng trong thành phần Framework và 13 lỗi trong thành phần System.
Ba trong số các lỗi này là lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, lần lượt là CVE-2023-21127, CVE-2023-21108 và CVE-2023-21130.
Được đánh giá có mức độ cao, 20 lỗ hổng còn lại dẫn đến leo thang đặc quyền, tiết lộ thông tin hoặc tấn công từ chối dịch vụ (DoS)
Xuất hiện trên các thiết bị ở mức bản vá 05-06-2023, phần thứ hai của bản cập nhật tháng 6 năm 2023 của Android giải quyết 33 lỗ hổng trong Arm (3 lỗ hổng), Imagination Technologies (2 lỗ hổng), Unisoc (4 lỗ hổng), Widevine DRM (2 lỗ hổng) và linh kiện Qualcomm (22 lỗ hổng).
Google vẫn chưa công bố chi tiết về các lỗ hổng được khắc phục bằng bản cập nhật Pixel tháng 6 năm 2023. Trong tháng này, không có bản vá nào được phát hành cho hệ điều hành Android Automotive OS.
Người dùng nên kiểm tra và cập nhật các bản vá càng sớm càng tốt để tránh các rủi ro về tấn công mạng.
PV (tổng hợp)