谷歌发布Android月度安全更新,修复正被积极利用的高危漏洞

谷歌已经发布了 Android 操作系统的月度安全更新,以解决一个已知的安全漏洞,它表示该漏洞已在野外被积极利用。

该高严重性漏洞被跟踪为 CVE-2024-32896(CVSS 评分:7.8),与 Android 框架组件中的权限升级有关。

根据 NIST 国家漏洞数据库 (NVD) 中的错误描述,它涉及一个逻辑错误,该错误可能导致本地权限升级,而无需任何额外的执行权限。

“有迹象表明,CVE-2024-32896 可能受到有限的、有针对性的利用,”谷歌在其 2024 年 9 月的 Android 安全公告中表示。

值得注意的是,CVE-2024-32896 于 2024 年 6 月首次披露,仅影响 Google 拥有的 Pixel 系列。

目前没有关于该漏洞如何被广泛利用的详细信息,尽管 GrapheneOS 维护者透露,CVE-2024-32896 为 CVE-2024-29748 提供了部分解决方案,CVE-2024-29748 是另一个已被取证公司武器化的 Android 漏洞。

谷歌后来向 The Hacker News 证实,CVE-2024-32896 的影响超出了 Pixel 设备,包括整个 Android 生态系统,并且它正在与原始设备制造商 (OEM) 合作,在适用的情况下应用修复程序。

“此漏洞需要对设备进行物理访问才能利用并中断出厂重置过程,”谷歌当时指出。“需要额外的漏洞来破坏设备。”

“我们正在优先考虑其他 Android OEM 合作伙伴的适用修复程序,并将在可用后立即推出。作为最佳安全实践,只要有新的安全更新可用,用户就应始终更新其设备。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐