Tiêu điểm bảo mật Android tháng 10: Google vá 53 lỗ hổng, hai trong số đó đang bị tấn công

Nếu chiếc điện thoại Android của bạn đã được cập nhật lên phiên bản bảo mật 2023-10-06 trở đi, thì hai lỗ hổng nêu trên đã được vá. Các bản vá này đã được phát hành cho các phiên bản Android 11, 12, 12L và 13. Tuy nhiên, việc các nhà sản xuất Android triển khai các bản vá có thể khác nhau và không đồng đều.

Cơ quan An ninh Mạng và Hạ tầng (CISA) của Mỹ đã thêm hai lỗ hổng đang bị tấn công này vào danh mục của họ. Điều này có nghĩa là các cơ quan trong Tổng cục Thực thi Dân sự Liên bang (FCEB) cần phải khắc phục những lỗ hổng này trước thời hạn quy định. CVE-2023-4863 cần được vá trước ngày 4 tháng 10 năm 2023 và CVE-2023-4211 phải được vá trước ngày 24 tháng 10 năm 2023.

Để kiểm tra phiên bản Android, cấp độ cập nhật bảo mật và cấp độ Google Play System của thiết bị của bạn, bạn có thể vào ứng dụng Cài đặt. Bạn sẽ nhận được thông báo khi có bản vá mới, nhưng bạn cũng có thể tự kiểm tra cập nhật.

Với hầu hết các điện thoại, bạn có thể vào mục Về điện thoại hoặc Về thiết bị, sau đó chọn Cập nhật phần mềm để kiểm tra xem có cập nhật mới cho thiết bị của bạn không, mặc dù có thể có sự khác biệt nhỏ dựa trên thương hiệu, loại và phiên bản Android của thiết bị.

Cơ sở dữ liệu Lỗ hổng và Tiết lộ Phổ biến (CVE) liệt kê các lỗ hổng bảo mật máy tính đã được tiết lộ công khai. Các CVE được xác định là đang bị tấn công là:

CVE-2023-4863: Một lỗ hổng tràn bộ đệm heap trong thư viện libwebp, ảnh hưởng đến nhiều ứng dụng sử dụng thư viện này để mã hóa và giải mã hình ảnh định dạng WebP. Lỗ hổng này cho phép kẻ tấn công từ xa thực hiện việc ghi ngoài phạm vi bộ nhớ thông qua một trang HTML độc hại. Đây là một lỗ hổng ảnh hưởng đến nhiều ứng dụng, chúng tôi đã trình bày cụ thể trong bài viết của chúng tôi về cách nó đã được sử dụng để cài đặt phần mềm gián điệp. Lỗ hổng này đã được vá nếu phiên bản bảo mật của điện thoại của bạn là 2023-10-05.

Tuy nhiên, lỗ hổng tiếp theo thì không. Điện thoại của bạn cần phải ở mức bản vá bảo mật 2023-10-06 trở lên để được bảo vệ khỏi lỗ hổng này.

CVE-2023-4211: Người dùng không đặc quyền cục bộ có thể thực hiện các thao tác xử lý bộ nhớ GPU không đúng để truy cập vào bộ nhớ đã được giải phóng trước đó. Lỗ hổng này ảnh hưởng đến nhiều phiên bản của trình điều khiển GPU Arm Mali, được sử dụng trên nhiều dòng điện thoại Android như của Google, Samsung, Huawei và Xiaomi, cũng như trên một số thiết bị Linux. GPU là một loại chip chuyên dụng chủ yếu được sử dụng cho các nhiệm vụ liên quan đến đồ họa, như hiển thị hình ảnh và video, cũng như tính toán tài nguyên nặng như huấn luyện trí tuệ nhân tạo và đào tiền mã hóa.

Theo thông tin từ Qualcomm, nhà sản xuất chip, trong thông báo bảo mật tháng 10 của họ, có dấu hiệu từ Google Threat Analysis Group và Google Project Zero cho thấy các CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 và CVE-2023-33063 có thể đang bị tấn công một cách hạn chế và mục tiêu. Hiện vẫn chưa rõ khi nào các bản vá cho những lỗ hổng này sẽ được tích hợp vào các bản cập nhật bảo mật của các nhà sản xuất tương ứng.