9 月 5 日消息,科技媒體 bleepingcomputer 昨日(9 月 4 日)報(bào)道,谷歌發(fā)布了 2024 年 9 月安卓安全更新,共計(jì)修復(fù) 34 個(gè)漏洞,其中重點(diǎn)值得關(guān)注的就是 CVE-2024-32896 漏洞。
CVE-2024-32896 簡(jiǎn)介
此前有相關(guān)證據(jù)表明,有黑客利用該漏洞向 Pixel 等安卓手機(jī)發(fā)起攻擊,是一個(gè)權(quán)限提升漏洞,谷歌于今年 6 月已經(jīng)在 Pixel 設(shè)備上修復(fù)。
這個(gè)高嚴(yán)重性漏洞與代碼中的一個(gè)邏輯錯(cuò)誤有關(guān),攻擊者可借此繞過安卓系統(tǒng)的某些保護(hù)措施,在不需要額外權(quán)限的情況下提升自己的權(quán)限。
美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)分別于 6 月、8 月示警,將漏洞列入已知漏洞利用(KEV)目錄。由于漏洞的嚴(yán)重性和潛在的危害,政府要求聯(lián)邦政府雇員必須在 21 天內(nèi)完成系統(tǒng)更新。
該漏洞已于 2024 年 6 月針對(duì) Pixel 設(shè)備修復(fù),并被標(biāo)記為在有限的、有針對(duì)性的攻擊(包括取證公司的攻擊)中被主動(dòng)利用,以阻止 Wasted 和 Sentry 等自動(dòng)清除工具在檢查設(shè)備時(shí)觸發(fā)。
谷歌在 9 月發(fā)布的安全更新現(xiàn)在修復(fù)了 CVE-2024-32896,適用于運(yùn)行安卓 12、12L、13 和 14 的設(shè)備。
9 月安全更新其它漏洞
除了高通公司封閉式組件(特別是 WLAN 子組件)中的兩個(gè)漏洞(跟蹤為 CVE-2024-33042 和 CVE-2024-33052)外,本月發(fā)布的其他修復(fù)都涉及高嚴(yán)重性問題。
鑒于谷歌 2024 年 9 月發(fā)布的安卓安全補(bǔ)丁解決了一個(gè)正在被利用的漏洞,建議所有安卓用戶盡快應(yīng)用該更新。
原創(chuàng)文章,作者:潮玩君,如若轉(zhuǎn)載,請(qǐng)注明出處:http://rponds.cn/article/678441.html