Google устранила две критические RCE-уязвимости в Android

Google выпустила мартовские обновления для устройств на Android. В общей сложности разработчики устранили 60 уязвимостей, среди которых две были критическими (могут привести к удалённому выполнению кода).

Критические бреши затрагивают Android версий 11, 12 и 13. По традиции интернет-гигант выпустил два набора патчей: 2023-03-01 и 2023-03-05. Первый содержит 31 фикс для системных компонентов Framework, System и Google Play.

«Наиболее опасная из устранённых уязвимостей — критическая дыра в компоненте System. В случае её эксплуатации атакующий может удалённо выполнить вредоносный код, для чего не требуется дополнительных прав или взаимодействия с пользователем», — говорится в замечаниях к выпуску.

Получившие статус критических уязвимости отслеживаются под идентификаторами CVE-2023-20951 и CVE-2023-20954. Google сознательно не раскрывает технические детали, чтобы не помогать злоумышленникам подготовить эксплойт.

Среди оставшихся 29 багов есть и бреши высокой степени риска. Они приводят к повышению прав, раскрытию информации и DoS.