CISA bővítette az Ismert Kihasznált Sebezhetőségek katalógusát
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) figyelmeztetett egy súlyos Android-sebezhetőségre, amelyet vélhetően a Pinduoduo kínai e-kereskedelmi alkalmazás használt ki, és nulladik nap a felhasználók utáni kémkedés.
Ez az Android-keretrendszer biztonsági hibája (CVE-2023-20963) lehetővé teszi a támadók számára, hogy felhasználói beavatkozás nélkül emeljék a jogosultságokat a javítatlan Android-eszközökön.
Az Android Framework egy meghatározatlan sebezhetőséget tartalmaz, amely lehetővé teszi a jogosultságok kiszélesítését egy alkalmazás magasabb Target SDK-ra való frissítése után, további végrehajtási jogosultságok nélkül – figyelmeztet a CISA .
A Google foglalkozott a március elején kiadott biztonsági frissítések hibájával, és elismerték, hogy a jelek szerint a CVE-2023-20963 korlátozott, célzott kihasználás alatt áll.
Az Egyesült Államok Szövetségi Polgári Végrehajtó Ügynökségei (FCEB) ügynökségeinek május 4-ig kell megvédeniük eszközeiket a CVE-2023-20963 sérülékenységgel szemben, amelyet a CISA csütörtökön felvett az Ismert Kihasznált Sebezhetőségek listájára.
A listára felkerült a Google Chromium V8 CVE-2023-2033 sérülékenysége és az Apple macOS CVE-2019-8526 sérülékenysége is.