Google выпустила декабрьский набор обновлений, в который вошли патчи для 85 уязвимостей. Среди устранённых брешей есть критическая 0-click, приводящая к удалённому выполнению кода.
Zero-click получила идентификатор CVE-2023-40088, она затрагивает компонент ОС System. Для эксплуатации злоумышленнику не нужны дополнительные права в системе.
Google пока не раскрывает факт использования уязвимости в реальных кибератаках, однако если киберпреступники возьмут её на вооружение, им удастся выполнить код без взаимодействия с целевым пользователем.
«Самая опасная из брешей содержится в компоненте System и может привести к удалённому выполнению кода. Атакующему не требуется взаимодействие с пользователем для успешной эксплуатации», — гласит официальное уведомление интернет-гиганта.
«Степень риска оценивается исходя из влияния, которое уязвимость может оказать на целевое устройство, а также учитывая, что средства противодействия либо отключены в целях разработки, либор успешно обходятся».
Среди оставшихся 84 дыр из набора три (CVE-2023-40077, CVE-2023-40076 и CVE-2023-45866) также получили статус критических. Они приводят к повышению прав и раскрытию информации, затрагивая компоненты Android Framework и System.
