Android sıklıkla kullanıcı gizliliğini etkileyebilecek çeşitli güvenlik açıklarına yatkın olmakla suçlanıyor. Google, işletim sistemini daha güvenli hale getirmek için çok sayıda adım atsa da ara sıra sorunlar ortaya çıkmaya devam ediyor. Bu hafta Google, sıfır tıklamayla uzaktan kod yürütülmesine (RCE) izin verebilecek kritik bir güvenlik açığı keşfettiğini söyledi.
CVE-2023-40088 olarak izlenen Açık, Android'in Sistem bileşeninde bulundu ve Google tarafından ciddiyet derecesi 'Kritik' olarak derecelendirildi. Ulusal Güvenlik Açığı Veritabanına göre sorun, com_android_bluetooth_btservice_AdapterService.cpp'nin callback_thread_event'i sırasında, serbest kullanım sonrası kullanım nedeniyle belleğin bozulabileceği durumlarda ortaya çıkıyor. Bu, hiçbir ek ayrıcalık olmadan ve herhangi bir kullanıcı etkileşimi olmadan uzaktan kod yürütülmesine yol açabilir.
Hatanın halihazırda kullanımda olup olmadığına dair bir bilgi yok ancak Google, Aralık 2023 güvenlik bülteninin bir parçası olarak sorunu düzeltmek için bir yama yayınladığını söylüyor. Sürüm notlarına göre düzeltme yalnızca Android 11'den Android 14'e kadar olan daha yeni Android sürümleriyle uyumludur.
Google'ın bir düzeltme eki yayınlamasının, son kullanıcıları güvence altına almanın yalnızca ilk adımı olduğunu burada belirtmekte fayda var; çünkü her satıcı veya operatörün hatayı düzeltmek için kendi güncellemesini yayınlaması gerekiyor. Bu nedenle Pixel kullanmıyorsanız güncelleme için birkaç hafta beklemeniz gerekebilir ve bazı cihazlar güncellemeyi hiç alamayabilir.
Yukarıda belirtilen hataya ek olarak Google, Aralık güncellemesi kapsamında 84 güvenlik açığını daha düzeltti. Bunlardan üçü 'Kritik' olarak derecelendirilirken geri kalanı 'Yüksek' önem derecesine sahip olarak listeleniyor. Diğer bazı güvenlik açıkları Qualcomm'un kapalı kaynak bileşenlerini etkiliyor ve en son Qualcomm güvenlik bülteninde ayrıntılı olarak açıklanıyor. Bu güvenlik açıklarından biri 'Kritik' olarak listelenirken geri kalanı 'Yüksek' olarak derecelendirildi.
Güvenliğin Android kullanıcıları için giderek çetrefilli bir konu haline gelmesiyle birlikte Google, mobil işletim sisteminin güvenliğini artırmanın yeni yolları üzerinde çalıştığını söylüyor . İlk olarak şirket, yazılım geliştirme sürecinin başlarında bellek güvenliği sorunlarını yakalamak için derleyici tabanlı temizleyicileri piyasaya sürüyor. Daha sonra, donanım yazılımı düzeyinde bellek güvenliği özellikleri eklemek için donanım ortaklarıyla birlikte çalışıyor. Son olarak şirket, bilgisayar korsanlarının bilinmeyen hatalardan yararlanmasını zorlaştırmak için çeşitli önlemler uyguluyor.
Kaynak:
https://www.techspot.com/news/101085-go ... -hack.html