Android yangilanishi o'ta xavfli RCEni patch qildi
2
46
0
2025-yil noyabr oyidagi Android patchlar platformaning tizim komponentidagi ikkita zaiflikni bartaraf etdi.
Google dushanba kuni Android platformasi uchun yangi xavfsizlik yangilanishlarini e’lon qildi. Ular tizim komponentidagi ikkita zaiflikni bartaraf etishga qaratilgan.
2025-yil noyabr oyidagi Android tuzatishlari 2015-yildan beri internet giganti tomonidan chiqarib kelinayotgan oylik yangilanishlardan farq qiladi — endi ular yagona xavfsizlik darajasini o‘z ichiga oladi: 2025-11-01 patch level.
Deyarli o‘n yil davomida so'nggi yangilanishlar ikkita xavfsizlik darajasiga bo‘lingan bo‘lib, bu dasturchilarga o‘z qurilmalariga xos zaifliklarni osonroq bartaraf etishga imkon bergan. Har oyda ikkinchi xavfsizlik darajasi o‘sha oyning xavfsizlik nomasida keltirilgan barcha xatoliklar uchun tuzatishlarni o‘z ichiga olgan.
2025-yil iyul oyida — o‘n yillikda ilk bor — Android foydalanuvchilari uchun hech qanday tuzatishlar chiqmagan, xuddi shunday holat oktyabr oyida ham takrorlandi. Biroq avgust va sentyabr oylarida Google 100 dan ortiq zaiflikni, jumladan, uchta eksploit qilingan muammoni hal qilgandi.
Kompaniya bu oyda tuzatilgan ikki zaiflikdan birortasi yovvoyi sharoitda (ya’ni amalda) eksploit qilinganini aytmagan, biroq ulardan biri masofadan turib kod bajarilishiga (RCE) olib kelishi mumkinligi haqida ogohlantirgan.
“Ushbu muammolarning eng xavflisi — tizim komponentidagi jiddiy xavfsizlik zaifligi bo‘lib, u foydalanuvchi aralashuvisiz masofadan turib kod bajarilishiga sabab bo‘lishi mumkin. Buning uchun qo‘shimcha ruxsat talab etilmaydi,” — deyiladi Google’ning xavfsizlik nomasida.
Bu xavfsizlik xatosi CVE-2025-48593 sifatida qayd etilgan bo‘lib, u foydalanuvchi kiritmalarini yetarlicha tekshirmaslik muammosi bilan bog‘liq. U Android 13, 14, 15 va 16 versiyalariga ta’sir qiladi.
Bu oyda bartaraf etilgan ikkinchi Android zaifligi esa CVE-2025-48581 sifatida qayd etilgan bo‘lib, u Android 16 versiyasidagi qurilmalarga taalluqlidir.
NIST maslahatnomasida shunday deyiladi: “apexd.cpp faylidagi VerifyNoOverlapInSessions funksiyasida koddagi mantiqiy xatolik sababli asosiy (mainline) o‘rnatishlar orqali xavfsizlik yangilanishlarini to‘sib qo‘yish ehtimoli mavjud. Bu esa qo‘shimcha bajarilish huquqlarisiz mahalliy imtiyozlarni oshirishga olib kelishi mumkin.”
Google Play tizim yangilanishlarida hech qanday xavfsizlik muammolari bartaraf etilmagan va 2025-yil noyabr oyidagi Automotive OS hamda Wear OS nomalarida ham xavfsizlik patchlari mavjud emas.
2025-11-01 xavfsizlik darajasiga ega qurilmalar yuqorida tasvirlangan zaifliklardan himoyalangan hisoblanadi.
