🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý dự án đầu tư xây dựng công trình dân dụng và công nghiệp tỉnh Tiền Giang đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Google cảnh báo về lỗ hổng zero-day mới có thể đã bị khai thác trong Android

09/11/2021

Google đã phát hành bản cập nhật bảo mật tháng Mười một cho Android để vá 39 lỗ hổng, bao gồm một lỗ hổng zero-day được cho là đã bị khai thác trong thực tế.

Lỗ hổng zero-day có mã CVE-2021-1048, liên quan đến lỗi use-after-free trong kernel cho phép đối tượng tấn công leo thang đặc quyền cục bộ.

Các vấn đề use-after-free thường rất nghiêm trọng, nó có thể cho phép tác nhân đe dọa truy cập bộ nhớ trái phép, thực thi mã tùy ý và giành quyền kiểm soát hệ thống của nạn nhân.

Google cho biết "có dấu hiệu cho thấy CVE-2021-1048 đã bị khai thác trong thực tế" nhưng không tiết lộ thêm chi tiết kỹ thuật về lỗ hổng, bản chất của các cuộc tấn công và danh tính của những tin tặc có thể đã lạm dụng lỗ hổng.

Bản vá bảo mật cũng khắc phục hai lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng (CVE-2021-0918 và CVE-2021-0930) trong thành phần Hệ thống.

Hai lỗ hổng nghiêm trọng khác, CVE-2021-1924 (lỗ hổng tiết lộ thông tin) và CVE-2021-1975 (lỗ hổng truy cập bộ nhớ trái phép), ảnh hưởng đến các thành phần mã nguồn của Qualcomm.

Lỗ hổng nghiêm trọng thứ năm trong Android TV (CVE-2021-0889) cho phép kẻ tấn công ở gần âm thầm ghép nối với TV và thực thi mã tùy ý mà không cần đặc quyền hoặc tương tác của người dùng.

Với bản cập nhật mới nhất, Google đã vá tổng cộng 6 lỗ hổng zero-day trong Android kể từ đầu năm nay, bao gồm CVE-2021-1048 và:

CVE-2020-11261 (Điểm CVSS: 8,4) - Lỗ hổng do thiếu kiểm tra xác thực trong thành phần đồ họa Qualcomm.

CVE-2021-1905 (Điểm CVSS: 8,4) - Lỗi use-after-free trong thành phần Đồ họa Qualcomm

CVE-2021-1906 (Điểm CVSS: 6.2) - Lỗ hổng gây ra lỗi cấp phát địa chỉ GPU trong thành phần đồ họa Qualcomm.

CVE-2021-28663 (Điểm CVSS: 8,8) - Lỗ hổng cho phép leo thang đặc quyền hoặc gây tiết lộ thông tin trong Arm Mali GPU kernel driver.

CVE-2021-28664 (Điểm CVSS: 8,8) - Lỗ hổng cho phép leo thang đặc quyền hoặc gây từ chối dịch vụ trong Arm Mali GPU kernel driver.

Nguồn: thehackernews.com

scrolltop