A Google lançou patches de segurança para corrigir várias falhas no Android, incluindo um bug de zero day que, segundo a empresa, pode ter sido explorado em ataques reais.

Identificada como CVE-2023-35674, essa vulnerabilidade de alta gravidade é descrita como um caso de escalada de privilégio que afeta o “Android Framework”.

A empresa mencionou em seu Boletim de Segurança Android para setembro de 2023: “Há indicações de que o CVE-2023-35674 possa estar sob exploração limitada e direcionada”, sem entrar em detalhes adicionais. A atualização também aborda outras três falhas de escalação de privilégio no Framework.

O gigante das buscas observou que o problema mais grave entre eles poderia levar a uma escalação local de privilégio sem a necessidade de privilégios adicionais de execução, sem qualquer interação do usuário.

A Google também informou que corrigiu uma vulnerabilidade crítica de segurança no componente do Sistema que poderia permitir a execução remota de código sem a necessidade de interação por parte da vítima.

No total, a Google corrigiu 14 falhas no módulo do Sistema e duas deficiências no componente MediaProvider. Esta última atualização será entregue como uma atualização do sistema Google Play.