找回密码 立即注册
查看: 725|回复: 0

谷歌发布Android月度安全更新,修复正被积极利用的高危漏洞

[复制链接]

412

主题

1382

回帖

4180

积分

卡卡巡查

积分
4180
发表于 2024-9-5 16:44:25 | 显示全部楼层 |阅读模式

谷歌已经发布了 Android 操作系统的月度安全更新,以解决一个已知的安全漏洞,它表示该漏洞已在野外被积极利用。

该高严重性漏洞被跟踪为 CVE-2024-32896(CVSS 评分:7.8),与 Android 框架组件中的权限升级有关。

根据 NIST 国家漏洞数据库 (NVD) 中的错误描述,它涉及一个逻辑错误,该错误可能导致本地权限升级,而无需任何额外的执行权限。

“有迹象表明,CVE-2024-32896 可能受到有限的、有针对性的利用,”谷歌在其 2024 年 9 月的 Android 安全公告中表示。

值得注意的是,CVE-2024-32896 于 2024 年 6 月首次披露,仅影响 Google 拥有的 Pixel 系列。

目前没有关于该漏洞如何被广泛利用的详细信息,尽管 GrapheneOS 维护者透露,CVE-2024-32896 为 CVE-2024-29748 提供了部分解决方案,CVE-2024-29748 是另一个已被取证公司武器化的 Android 漏洞。

谷歌后来向 The Hacker News 证实,CVE-2024-32896 的影响超出了 Pixel 设备,包括整个 Android 生态系统,并且它正在与原始设备制造商 (OEM) 合作,在适用的情况下应用修复程序。

“此漏洞需要对设备进行物理访问才能利用并中断出厂重置过程,”谷歌当时指出。“需要额外的漏洞来破坏设备。”

“我们正在优先考虑其他 Android OEM 合作伙伴的适用修复程序,并将在可用后立即推出。作为最佳安全实践,只要有新的安全更新可用,用户就应始终更新其设备。


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


快速回复 返回顶部 返回列表