Android માટે સેમસંગની ગેલેક્સી સ્ટોર એપ્લિકેશનમાં બે સુરક્ષા ખામીઓ જાહેર કરવામાં આવી છે જેનો ઉપયોગ સ્થાનિક હુમલાખોર દ્વારા વેબ પર કપટપૂર્ણ લેન્ડિંગ પૃષ્ઠો પર મનસ્વી એપ્લિકેશનો ઇન્સ્ટોલ કરવા માટે કરવામાં આવે છે.
CVE-2023-21433 અને CVE-2023-21434 તરીકે ટ્રૅક કરાયેલ મુદ્દાઓ NCC ગ્રૂપ દ્વારા શોધવામાં આવ્યા હતા જેને નવેમ્બર અને ડિસેમ્બર 2022માં દક્ષિણ કોરિયન ચેબોલને સૂચિત કરવામાં આવ્યા હતા. સેમસંગે બગ્સને મધ્યમ જોખમ તરીકે વર્ગીકૃત કર્યા છે અને સંસ્કરણ 4.5 માં રિલીઝ ફિક્સ કર્યા છે. .49.8 આ મહિને મોકલવામાં આવ્યા.
સેમસંગ ગેલેક્સી સ્ટોરને અગાઉ સેમસંગ એપ્સ અને ગેલેક્સી એપ્સ તરીકે ઓળખવામાં આવે છે જે સેમસંગ દ્વારા ઉત્પાદિત Android ઉપકરણો માટે ઉપયોગમાં લેવાતો સમર્પિત એપ સ્ટોર છે. તે સપ્ટેમ્બર 2009માં લોન્ચ થયું હતું.
બે નબળાઈઓમાં પ્રથમ CVE-2023-21433 છે જે સેમસંગ ઉપકરણ પર પહેલેથી જ ઇન્સ્ટોલ કરેલી બદમાશ એન્ડ્રોઇડ એપ્લિકેશનને Galaxy Store પર ઉપલબ્ધ કોઈપણ એપ્લિકેશનને ઇન્સ્ટોલ કરવા સક્ષમ કરી શકે છે.
સેમસંગને અયોગ્ય એક્સેસ કંટ્રોલના કેસ તરીકે વર્ણવવામાં આવ્યું છે જેને અનધિકૃત એક્સેસને રોકવા માટે યોગ્ય પરવાનગીઓ સાથે પેચ કરવામાં આવી છે.
આ ખામી સેમસંગ ઉપકરણોને અસર કરે છે જે એન્ડ્રોઇડ 12 અને તે પહેલાનાં વર્ઝન પર ચાલે છે અને જે લેટેસ્ટ વર્ઝન (એન્ડ્રોઇડ 13) પર છે તેને અસર કરતી નથી.
બીજી નબળાઈ કે જે CVE-2023-21434 છે તે અયોગ્ય ઇનપુટ માન્યતાના ઉદાહરણ સાથે સંબંધિત છે જ્યારે એપ્લિકેશનની અંદરથી વેબવ્યુ તરીકે લોંચ કરી શકાય તેવા ડોમેન્સની સૂચિને મર્યાદિત કરતી વખતે થાય છે જે ફિલ્ટરને બાયપાસ કરવા અને બ્રાઉઝ કરવા માટે જોખમી અભિનેતાને અસરકારક રીતે સક્ષમ કરે છે. તેમના નિયંત્રણ હેઠળ ડોમેન.
ગૂગલ ક્રોમમાં દૂષિત હાયપરલિંક અથવા સેમસંગ ડિવાઇસ પર પ્રી-ઇન્સ્ટોલ કરેલી ઠગ એપ્લિકેશનને ટેપ કરવું જે સેમસંગના URL ફિલ્ટરને બાયપાસ કરી શકે છે અને હુમલાખોર નિયંત્રિત ડોમેન પર વેબવ્યુ લોન્ચ કરી શકે છે.
આ અપડેટ આવે છે કારણ કે સેમસંગે જાન્યુઆરી 2023 ના મહિના માટે સુરક્ષા અપડેટ્સ બહાર પાડ્યા હતા જેથી કેટલીક ખામીઓનું નિવારણ કરવામાં આવે જેમાંથી કેટલાક કેરિયર નેટવર્ક પરિમાણોને સંશોધિત કરવા માટે શોષણ કરી શકાય છે જે પરવાનગી વિના BLE જાહેરાતને નિયંત્રિત કરે છે.