Google устранила в Android две 0-day, фигурирующие в реальных кибератаках

Google устранила в Android две 0-day, фигурирующие в реальных кибератаках

Google устранила в Android две 0-day, фигурирующие в реальных кибератаках

Google выпустила мартовский набор обновлений для операционной системы Android. В общей сложности разработчики устранили 44 уязвимости, включая две 0-day (уже используются в реальных кибератаках).

Наиболее опасные бреши получили следующие идентификаторы:

  • CVE-2024-43093 — проблема в компоненте Framework, приводящая к повышению прав и позволяющая получить доступ к директориям «Android/data», «Android/obb» и «Android/sandbox».
  • CVE-2024-50302 — эта брешь также позволяет повысить привилегии, но затрагивает уже HID USB, компонент ядра Linux. Воспользовавшись специально подготовленными HID-отчётами, злоумышленники могут спровоцировать утечку памяти ядра.

Интересно, что CVE-2024-43093 ранее упоминалась в уведомлении Google от ноября 2024 года.

Что касается CVE-2024-50302: эту уязвимость можно использовать в связке с ещё двумя 0-day. Говорят, именно эти баги эксплуатировались в кампании Cellebrite, нацеленной против сербского активиста.

Помимо CVE-2024-50302, киберпреступники задействовали CVE-2024-53104 и CVE-2024-53197, что помогло им установить шпионский софт NoviSpy.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России может появиться новая статья УК для киберпреступников

Во второй пакет мер, направленных на борьбу с дистанционным мошенничеством, может войти поправка к статье 163 Уголовного кодекса РФ (вымогательство), предусматривающая до 15 лет лишения свободы за преступления с применением информационно-коммуникационных технологий.

С текстом второго антифрод-пакета ознакомился «Коммерсантъ». Документ включает более 30 инициатив, направленных на противодействие телефонному и интернет-мошенничеству.

Среди предлагаемых мер — ужесточение наказания за незаконную продажу SIM-карт, возможность установить самозапрет на звонки из-за рубежа, а также обязательная передача в единую систему противодействия мошенничеству информации о звонках, содержащих признаки противоправных действий.

В рамках пакета также предлагается дополнить статью 163 Уголовного кодекса новой частью, предусматривающей отдельную ответственность за вымогательство с использованием цифровых технологий. В новой статье 163.1 предлагается установить наказание вплоть до 15 лет лишения свободы.

Под действие новой нормы будут подпадать случаи, когда вымогательство сопровождается вводом, уничтожением, блокированием или модификацией компьютерной информации, а также преднамеренным воздействием на информационные системы и (или) телекоммуникационные сети — включая использование искусственного интеллекта.

Эта инициатива вызвала вопросы у ряда опрошенных экспертов. Так, в компании F6 отметили, что вымогательство с применением вредоносного кода уже охватывается действующими частями 2 и 3 статьи 163 УК.

По мнению одного из источников на ИБ-рынке, основная проблема — не в отсутствии необходимых правовых норм, а в сложности сбора доказательств и установления личности злоумышленников.

На данный момент предложенные меры проходят межведомственное согласование. Как уточнили в Минцифры, в процессе рассмотрения возможны существенные корректировки.

Ранее стало известно, что правительство также готовит меры по криминализации DDoS-атак. Это стало ответом на инициативу министра юстиции Вадима Фадеева.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru