Co słychać w bezpieczeństwie Mobili? O łatach w Androidzie i newsy z Microsoftu

Zero-day został sklasyfikowany jako CVE-2024-3697 i opisany jako problem o dużej wadze, który można wykorzystać do zdalnego wykonania kodu.

„Istnieją przesłanki wskazujące, że CVE-2024-36971 może być przedmiotem ograniczonego, ukierunkowanego wykorzystania” – informuje Google w swoim poradniku. Znaczy to nic innego jak to, że luka wykorzystywana jest w praktyce.

Nie udostępniono żadnych informacji na temat ataków wykorzystujących CVE-2024-36971, ale warto zauważyć, że odkrył je Clément Lecigne z Google, któremu często przypisuje się znajdowanie luk wykorzystywanych przez komercyjnych dostawców oprogramowania szpiegującego.

Dodajmy, że najnowsze aktualizacje Androida łatają ponad 40 innych luk, z których większość ma ocenę „wysokiej ważności”.

W komponencie „framework” załatano około dwunastu luk, w tym błędy, które można wykorzystać do eskalacji uprawnień, ujawniania informacji i ataków DoS. Naprawiono jeden problem z ujawnianiem informacji w komponencie „system”.

Naprawiono także kilka luk w komponentach Arm, Imagination Technologies i MediaTek.

Komponent Qualcomm aktualizuje łatkę 27 luk w wyświetlaczu, sieci WLAN i innych podkomponentach. Jednej luce przypisano ocenę „poważnej krytycznej” – umożliwiała atakującemu wywołanie trwałego stanu DoS.

W poniedziałek Google ogłosiło także łatki dla Wear OS.

Z kolei Microsoft planuje uniemożliwić pracownikom w Chinach używanie urządzeń z systemem Android do logowania się w sieci korporacyjnej.

Według raportu Bloomberga Microsoft wysłał do chińskich pracowników wewnętrzną notatkę szczegółowo opisującą plan, który wchodzi w życie we wrześniu i będzie nakazywał używanie iPhone’ów do uwierzytelniania tożsamości podczas logowania się na komputerach służbowych!

Dyrektywa jest zgłaszana jako część nowej inicjatywy Microsoft Secure Future Initiative, która powstała w odpowiedzi na liczne żenujące naruszenia oraz zjadliwy raport rządu USA na temat nieodpowiednich praktyk korporacji z Redmond w zakresie cyberbezpieczeństwa.

Bloomberg napisał, że wprowadzenie obowiązku korzystania z urządzeń mobilnych wpłynie na setki pracowników w całych Chinach kontynentalnych i będzie zachęcać do korzystania z menedżera haseł Microsoft Authenticator oraz aplikacji Identity Pass.

W raporcie zauważono, że w przeciwieństwie do sklepu Apple na iOS, Google Play nie jest dostępne w Chinach, a wiodący lokalni producenci smartfonów, tacy jak Huawei i Xiaomi, obsługują własne platformy. Z notatki wynika, że Microsoft zdecydował się ograniczyć dostęp z tych urządzeń do swoich zasobów korporacyjnych ze względu na brak usług mobilnych Google w Chinach.

Dodatkowo notatka zawiera informacje, że pracownicy korzystający z urządzeń z Androidem, w tym Huawei czy Xiaomi, otrzymają iPhone’a 15 w ramach jednorazowego zakupu.

Bloomberg powiedział, że Microsoft planuje dystrybucję iPhone’ów w różnych centrach w całych Chinach, w tym w Hongkongu, gdzie dostępne są usługi Google.

W ramach nowej inicjatywy Secure Future Microsoft zobowiązał się do udostępniania szybszych poprawek w chmurze, lepszego zarządzania kluczami podpisywania tożsamości i dostarczania oprogramowania z wyższym domyślnym poziomem bezpieczeństwa. Microsoft planuje wdrożyć najnowocześniejsze standardy zarządzania tożsamością i materiałami poufnymi, w tym rotację kluczy chronioną sprzętowo i wieloczynnikowe uwierzytelnianie odporne na phishing dla wszystkich kont użytkowników.

Nowa strategia będzie również kłaść nacisk na ochronę sieci i systemów produkcyjnych korporacji poprzez poprawę izolacji, monitorowania, inwentaryzacji i bezpieczeństwa operacji.