Android-നായുള്ള Samsung-ന്റെ Galaxy Store ആപ്പിൽ രണ്ട് സുരക്ഷാ പിഴവുകൾ വെളിപ്പെടുത്തി, വെബിലെ വ്യാജ ലാൻഡിംഗ് പേജുകളിലേക്ക് അനിയന്ത്രിതമായ ആപ്പുകൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ ഒരു പ്രാദേശിക ആക്രമണകാരി ചൂഷണം ചെയ്യുന്നു.
CVE-2023-21433, CVE-2023-21434 എന്നിങ്ങനെ ട്രാക്ക് ചെയ്ത പ്രശ്നങ്ങൾ, 2022 നവംബർ, ഡിസംബർ മാസങ്ങളിൽ ദക്ഷിണ കൊറിയൻ ചേബോളിനെ അറിയിച്ച NCC ഗ്രൂപ്പ് കണ്ടെത്തി. സാംസംഗ് ബഗുകളെ മിതമായ അപകടസാധ്യതയായി തരംതിരിച്ചിരിക്കുന്നു, പതിപ്പ് 4.5-ൽ റിലീസ് ഫിക്സുകളും ചെയ്തിട്ടുണ്ട്. .49.8 ഈ മാസം അയച്ചു.
സാംസങ് ഗാലക്സി സ്റ്റോർ മുമ്പ് സാംസങ് ആപ്പുകൾ എന്നും ഗാലക്സി ആപ്പുകൾ എന്നും അറിയപ്പെട്ടിരുന്നു, ഇത് സാംസങ് നിർമ്മിക്കുന്ന Android ഉപകരണങ്ങൾക്കായി ഉപയോഗിക്കുന്ന ഒരു സമർപ്പിത അപ്ലിക്കേഷൻ സ്റ്റോറാണ്. 2009 സെപ്റ്റംബറിൽ ഇത് സമാരംഭിച്ചു.
ഗാലക്സി സ്റ്റോറിൽ ലഭ്യമായ ഏത് ആപ്ലിക്കേഷനും ഇൻസ്റ്റാൾ ചെയ്യാൻ സാംസങ് ഉപകരണത്തിൽ ഇതിനകം ഇൻസ്റ്റാൾ ചെയ്ത റോഗ് ആൻഡ്രോയിഡ് ആപ്പ് പ്രവർത്തനക്ഷമമാക്കാൻ കഴിയുന്ന CVE-2023-21433 ആണ് രണ്ട് കേടുപാടുകളിൽ ആദ്യത്തേത്.
അനധികൃത ആക്സസ് തടയുന്നതിന് ശരിയായ അനുമതികളോടെ പാച്ച് ചെയ്ത അനുചിതമായ ആക്സസ് നിയന്ത്രണമാണ് സാംസങ് വിവരിച്ചത്.
ആൻഡ്രോയിഡ് 12-ലും അതിനുമുമ്പും പ്രവർത്തിക്കുന്ന സാംസങ് ഉപകരണങ്ങളെ ഈ പോരായ്മ ബാധിക്കുന്നു, ഏറ്റവും പുതിയ പതിപ്പിൽ (ആൻഡ്രോയിഡ് 13) ഉള്ളവയെ ബാധിക്കില്ല.
CVE-2023-21434 എന്ന രണ്ടാമത്തെ അപകടസാധ്യത, ആപ്പിനുള്ളിൽ നിന്ന് വെബ്വ്യൂ ആയി സമാരംഭിക്കാവുന്ന ഡൊമെയ്നുകളുടെ ലിസ്റ്റ് പരിമിതപ്പെടുത്തുമ്പോൾ സംഭവിക്കുന്ന തെറ്റായ ഇൻപുട്ട് മൂല്യനിർണ്ണയത്തിന്റെ ഒരു ഉദാഹരണവുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു, ഇത് ഫിൽട്ടർ മറികടന്ന് ബ്രൗസ് ചെയ്യാൻ ഒരു ഭീഷണിക്കാരനെ പ്രാപ്തമാക്കുന്നു. അവരുടെ നിയന്ത്രണത്തിലുള്ള ഡൊമെയ്ൻ.
ഗൂഗിൾ ക്രോമിലെ ക്ഷുദ്രകരമായ ഹൈപ്പർലിങ്കോ സാംസങ് ഉപകരണത്തിൽ മുൻകൂട്ടി ഇൻസ്റ്റാൾ ചെയ്ത റോഗ് ആപ്ലിക്കേഷനോ ടാപ്പുചെയ്യുന്നത്, സാംസംഗിന്റെ URL ഫിൽട്ടർ മറികടന്ന് ആക്രമണകാരി നിയന്ത്രിത ഡൊമെയ്നിലേക്ക് ഒരു വെബ്വ്യൂ സമാരംഭിക്കാൻ കഴിയും.
അനുമതിയില്ലാതെ BLE പരസ്യംചെയ്യൽ നിയന്ത്രിക്കുന്ന കാരിയർ നെറ്റ്വർക്ക് പാരാമീറ്ററുകൾ പരിഷ്ക്കരിക്കുന്നതിന് അവയിൽ ചിലത് ഉപയോഗപ്പെടുത്താവുന്ന നിരവധി പോരായ്മകൾ പരിഹരിക്കുന്നതിനായി 2023 ജനുവരി മാസത്തേക്ക് സാംസങ് സുരക്ഷാ അപ്ഡേറ്റുകൾ പുറത്തിറക്കിയതിനാലാണ് ഈ അപ്ഡേറ്റ് വരുന്നത്.