CVE là viết tắt của Common Vulnerabilities and Exposures và mỗi số CVE đề cập đến một lỗ hổng cụ thể. CVE nói trên là một lỗ hổng ảnh hưởng đến các thiết bị Android được trang bị GPU Mali của ARM. Điều đó có nghĩa là thiết bị cầm tay Google Pixel và Samsung Galaxy bị ảnh hưởng cùng với điện thoại thông minh Android do nhiều nhà sản xuất khác sản xuất.
Cho đến khi bản vá được phổ biến, những kẻ tấn công có khả năng khai thác lỗ hổng.
Project Zero lưu ý rằng họ đã thông báo cho ARM về các lỗ hổng và ARM đã "kịp thời" khắc phục sự cố vào tháng 7 và tháng 8 năm nay. ARM đã gán số CVE-2022-33917 cho lỗ hổng. Nhưng Google sau đó đã phát hiện ra rằng "tất cả các thiết bị thử nghiệm của chúng tôi sử dụng Mali vẫn dễ bị ảnh hưởng bởi những sự cố này. CVE-2022-36449 không được đề cập trong bất kỳ bản tin bảo mật hạ nguồn nào." Nói cách khác, các thiết bị do nhóm Pixel của Google, Samsung, Oppo và Xiaomi sản xuất chưa bao giờ được vá và vẫn có lỗ hổng có thể khai thác này.
Tin vui là Google đang thử nghiệm một bản vá dự kiến sẽ được tung ra "trong vài tuần tới". Tuyên bố của Google có đoạn: "Bản sửa lỗi do Arm cung cấp hiện đang được thử nghiệm cho các thiết bị Android và Pixel và sẽ được phân phối trong vài tuần tới. Các đối tác OEM của Android sẽ được yêu cầu thực hiện bản vá để tuân thủ các yêu cầu SPL trong tương lai."
Về phần mình, Google cũng đã thông báo tới các nhà cung cấp Android về việc đang cố gắng ngăn chặn sự cố tương tự xuất hiện trong tương lai. Công ty nói rõ rằng các nhà cung cấp có trách nhiệm vá các lỗi phần mềm của họ giống như người dùng Android phải tải xuống các bản cập nhật bảo mật ngay khi nhận được.
Gã khổng lồ tìm kiếm nói thêm rằng "Các công ty cần duy trì cảnh giác, theo sát các nguồn ngược dòng và cố gắng hết sức để cung cấp các bản vá hoàn chỉnh cho người dùng càng sớm càng tốt."
Google chưa cho biết lỗ hổng này đã bị khai thác bởi bất kỳ kẻ tấn công nào nhưng hiện tại, đây vẫn là một lỗ hổng có thể được sử dụng để đánh cắp dữ liệu cá nhân trên một số điện thoại Android nhất định. Khi bản cập nhật đến - và Google đã nói rằng nó sẽ sớm ra mắt - nếu điện thoại Android của bạn gặp rủi ro, hãy cài đặt bản cập nhật ngay lập tức.
Nguyên Đỗ
