Google đã phát hành bản cập nhật bảo mật tháng 3 năm 2022 cho Android 10, 11 và 12, khắc phục ba lỗ hổng nghiêm trọng, một trong số đó ảnh hưởng đến tất cả các thiết bị chạy phiên bản mới nhất của hệ điều hành di động.
Có định danh là CVE-2021-39708, lỗ hổng tồn tại trong thành phần Android System, cho phép đối tượng tấn công leo thang đặc quyền mà không cần sự tương tác của người dùng hoặc các đặc quyền thực thi bổ sung.
Hai lỗ hổng nghiêm trọng khác là CVE-2021-1942 và CVE-2021-35110, ảnh hưởng đến các thành phần trên các thiết bị Qualcomm.
Danh sách các chipset Qualcomm bị ảnh hưởng bởi hai lỗ hổng được liệt kê trong bản tin bảo mật của nhà sản xuất chip.
Chi tiết kỹ thuật của các lỗ hổng hiện chưa được tiết lộ để giảm rủi ro cho những người dùng chưa kịp cập nhật bản vá.
Bản cập nhật bảo mật tháng 3 cũng khắc phục các lỗ hổng khác, bao gồm:
- 1 lỗ hổng mức trung bình cho phép leo thang đặc quyền trong Android runtime (phiên bản 12)
- 17 lỗ hổng mức cao cho phép leo thang đặc quyền trong Android Framework (phiên bản 10, 11, 12), System (phiên bản 10, 11, 12) và Kernel.
- 2 lỗ hổng từ chối dịch vụ, được đánh giá mức cao, trong Android Framework (phiên bản 12)
- 3 lỗ hổng tiết lộ thông tin, được đánh giá mức cao, trong Media Framework (phiên bản 10, 11, 12), System (phiên bản 10, 11, 12) và Kernel.
- 3 lỗ hổng mức cao trong các thành phần MediaTek
- 10 lỗ hổng mức cao trong các thành phần của Qualcomm
Như hàng tháng, Google đã phát hành hai mức bản vá cho tháng 3 năm 2022, một là "2022-03-01" và một là "2022-03-05".
Bản vá thứ hai bao gồm bản vá mức một và các bản sửa lỗi cho các thành phần Kernel và mã nguồn đóng của bên thứ ba có thể không áp dụng cho tất cả các thiết bị.
Vì vậy một số nhà cung cấp thiết bị không nhất thiết phải triển khai bản vá mức hai.
Ngoại trừ dòng Pixel của Google nhận được các bản cập nhật ngay lập tức, tất cả các nhà cung cấp khác sẽ cần một khoảng thời gian để áp dụng các bản vá cho từng loại thiết bị của họ.
Nếu bạn đang sử dụng Android trước phiên bản 10, hãy nâng cấp lên một thiết bị mới để được hỗ trợ bản vá hoặc cài đặt thiết bị của bạn bằng ROM Android của bên thứ ba dựa trên phiên bản AOSP mới nhất hiện có.
Nguồn: bleepingcomputer.com
Tín nhiệm mạng | Một trojan ngân hàng Android mới có tên SharkBot đã vượt qua các kiểm tra bảo mật của Cửa hàng Google Play bằng cách giả dạng ứng dụng chống virus.
Tín nhiệm mạng | Mozilla đã phát hành các bản cập nhật phần mềm cho trình duyệt Firefox để khắc phục hai lỗ hổng zero-day đã và đang bị khai thác trong thực tế.
Tín nhiệm mạng | Mới đây, nhóm ransomware Lapsus$ đã làm rò rỉ một tập dữ liệu bí mật lớn được cho là của Samsung Electronics-một công ty điện tử lớn của Hàn Quốc.
Tín nhiệm mạng | Cisco đã phát hành các bản vá để khắc phục các lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Expressway Series và Máy chủ truyền thông video TelePresence VCS, cho phép tin tặc leo thang đặc quyền và thực thi mã tùy ý.
Tín nhiệm mạng | Công ty sản xuất chip NVIDIA xác nhận bị tin tặc tấn công và xâm phạm vào dữ liệu nhạy cảm, bao gồm mã nguồn liên quan đến công nghệ Deep Learning Super Sampling
Tín nhiệm mạng | Các lỗ hổng nghiêm trọng trong VoIPmonitor cho phép kẻ tấn công không cần xác thực có thể leo thang đặc quyền lên cấp quản trị viên và thực thi lệnh tùy ý.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
