Breaking News

นักวิจัยพบการใช้ช่องโหว่ Zero-day บนมือถือแอดรอยด์ คาดกระทบผู้ผลิตหลายยี่ห้อ

นักวิจัยจาก Google ได้ออกมาเปิดเผยถึงการค้นพบการโจมตีด้วยช่องโหว่ Zero-day ที่คาดว่าส่งผลกระทบต่อมือถือแอดดรอยด์หลายยี่ห้อ เช่น Huawei, Xiaomi, Oppo และ Pixel เป็นต้น

Credit: ShutterStock.com

ถึงแม้ว่าช่องโหว่ดังกล่าว (CVE-2019-2215) ถูกนับว่าเป็น Zero-day ก็จริงแต่ที่จริงแล้วเป็นช่องโหว่เก่าที่เคยเกิดขึ้นในแอนดรอยด์เวอร์ชัน 3.18, 4.14, 4.4 และ 4.9 ซึ่ง Google ได้แพตช์แล้วเมื่อช่วงธันวาคมปี 2017 อย่างไรก็ตามช่องโหว่นี้ได้กระทบกับแอนดรอยด์เวอร์ชัน 8 ขึ้นมาอีก โดยคาดกว่าจะส่งผลกระทบกับมือถือหลายรุ่นคือ Pixel2 (ที่ใช้แอนดรอยด์เวอร์ชัน 9 หรือ 10), Huawei P20, Xiaomi Redmi 5A, Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, Oreo LG Phone, Samsung S7, S8, S9

อย่างไรก็ตามเคราะห์ดีที่ช่องโหว่เพื่อเข้าถึงสิทธิ์ระดับ Root ดังกล่าวไม่ใช่ช่องโหว่ที่นำไปสู่การเกิด Remote Code Execution และต้องมีเงื่อนไขการใช้งานบางอย่างก่อนด้วย ดังนั้นจึงได้รับการประเมินความรุนแรงไว้ที่ระดับ ‘High’ เท่านั้น แต่แนะนำให้ผู้ใช้งานควรอัปเดต ซึ่งสำหรับ Google เองได้แพตช์แก้ไขให้ Pixel 1 และ 2 แล้ว พร้อมทั้งแจ้งพาร์ทเนอร์ที่ได้รับผลกระทบแล้วด้วย

ผู้สนใจสามารถศึกษาเนื้อหาโดยละเอียดและ PoC ได้จากบล็อกของ Google

ที่มา :  https://www.zdnet.com/article/google-finds-android-zero-day-impacting-pixel-samsung-huawei-xiaomi-devices/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft แพตช์อุดช่องโหว่เดือนสิงหาคม มี Zero-day 2 รายการถูกใช้แล้ว แนะเร่งอัปเดต

สำหรับแพตช์ประจำเดือนสิงหาคมในส่วนผลิตภัณฑ์จาก Microsoft นั้น มีจำนวน 120 รายการ โดยกว่า 17 รายการเป็นช่องโหว่ร้ายแรง ซึ่ง 2 รายการนั้นพบการใช้โจมตีจริงแล้ว ด้วยเหตุนี้จึงเตือนให้ผู้ใช้งานกรุณาอัปเดตครับ

Oracle Webinar: ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure (Gen 2)

Oracle ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าฟังบรรยาย Oracle Webinar เรื่อง “ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure” พร้อมแนะนำการทำ Application Modernization เพื่อพลิกโฉมธุรกิจในยุค New Normal ในวันอังคารที่ 18 สิงหาคม 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี