Microsoft พบข้อบกพร่องร้ายแรงในแอป Android จากผู้ให้บริการมือถือรายใหญ่ 

Microsoft ค้นพบช่องโหว่ที่มีความรุนแรงสูงใน Framework จาก Android Apps ผู้ให้บริการมือถือรายใหญ่หลายราย โดยแอปที่พบช่องโหว่ถูกติดตั้งไว้ล่วงหน้าหรือเป็นค่าเริ่มต้นอุปกรณ์ Android ส่วนใหญ่ แอปที่ได้รับผลกระทบบางแอปไม่สามารถถอนการติดตั้งหรือปิดใช้งานได้อย่างสมบูรณ์ 

ช่องโหว่พบได้แก่   CVE-2021-42598 ,  CVE-2021-42599 ,  CVE-2021-42600และ  CVE-2021-42601 ทำให้ผู้ไม่ประสงค์ดีฝังคำสั่งและการโจมตีแบบยกระดับสิทธิ์ โดยมีคะแนน CVSS ระหว่าง 7.0 ถึง 8.9. 

Command injection proof-of-concept (POC) ใช้ประโยชน์จาก Code ที่ใช้งานในบริการอุปกรณ์ 
การใส่ JavaScript Code ที่คล้ายคลึงกันลงใน WebView อาจทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้บริการและวิธีการต่างๆ 

แอปที่ได้รับผลกระทบบางส่วนมาจากผู้ให้บริการมือถือระหว่างประเทศรายใหญ่ เช่น Telus, AT&T, Rogers, Freedom Mobile และ Bell Canada ซึ่ง Microsoft ไม่ได้เปิดเผยรายชื่อแอปทั้งหมดที่พบช่องโหว่ใน Framework 

Ref: https://thehackernews.com/2022/05/microsoft-finds-critical-bugs-in-pre.html 

Share