312/67 (IT) ประจำวันศุกร์ที่ 6 กันยายน 2567
เมื่อวันอังคารที่ผ่านมา Google ได้ออกอัปเดตความปลอดภัยใหม่สำหรับ Android โดยได้แก้ไขช่องโหว่ทั้งหมด 35 รายการ รวมถึงปัญหาการยกระดับสิทธิ์ในเครื่อง (local privilege escalation) ที่หมายเลข CVE-2024-32896 ซึ่งมีคะแนนความรุนแรง (CVSS : 7.8) ช่องโหว่นี้เป็นปัญหาในส่วนประกอบ Framework ของ Android เกิดจากข้อผิดพลาดในโค้ดที่ทำให้ผู้โจมตีในเครื่องสามารถยกระดับสิทธิ์ของตนได้โดยไม่ต้องใช้สิทธิ์พิเศษเพิ่มเติม
ช่องโหว่ CVE-2024-32896 ถูกเปิดเผยครั้งแรกในเดือนมิถุนายน 2024 โดยพบว่าถูกใช้โจมตีอุปกรณ์ Pixel ผ่านช่องโหว่ Zero-day และได้รับการแก้ไขในเดือนนั้น การแก้ไขล่าสุดถูกนำเสนอในแพตช์ความปลอดภัย Android 2024-09-01 ซึ่งครอบคลุมการแก้ไขช่องโหว่ ในส่วนประกอบ Framework และ System ที่มีความรุนแรงสูง รวมทั้งหมด 10 รายการ สำหรับการอัปเดตส่วนที่สองในแพตช์ความปลอดภัย 2024-09-05 ได้แก้ไขช่องโหว่ 25 รายการในส่วนประกอบของ Kernel, Arm, Imagination Technologies, Unisoc และ Qualcomm ทำให้อุปกรณ์ที่ใช้แพตช์นี้ได้รับการป้องกันจากช่องโหว่เหล่านี้
นอกจากนี้ Google ยังประกาศอัปเดตความปลอดภัยเพิ่มเติมสำหรับ Pixel และระบบปฏิบัติการอื่นๆ เช่น Android 15, Automotive OS และ Wear OS โดยทั้งหมดจะได้รับการแก้ไขช่องโหว่ที่ระบุไว้ในบันทึกความปลอดภัยประจำเดือนกันยายน 2024 ซึ่งครอบคลุมการแก้ไขช่องโหว่ที่มีความรุนแรงสูงในหลากหลายส่วนประกอบของระบบ ผู้ใช้งาน Android ควรตรวจสอบและติดตั้งแพตช์ความปลอดภัยล่าสุดเสมอ เพื่อป้องกันความเสี่ยงจากการโจมตีที่อาจเกิดขึ้นได้จากช่องโหว่ที่พบในระบบ
แหล่งข่าว https://www.securityweek.com/androids-september-2024-update-patches-exploited-vulnerability/
