Google在其Android操作系統中確定並修補了一個關鍵的零日漏洞,該漏洞正在野外積極利用。
追踪為CVE-2024-32896(CVSS得分:7.8)的高度脆弱性被歸類為Pixel固件中特權(EOP)缺陷的高度高程。
當特權較低的用戶或應用程序獲得訪問功能或內容時,通常會保留給具有較高特權的用戶或應用程序時,就會發生特權漏洞的提升。如果被利用,攻擊者可以執行諸如竊取數據或安裝惡意軟件之類的動作。
CVE-2024-32896與Android Framework組件中的邏輯錯誤有關,該錯誤可能導致特權的本地升級,而無需其他執行特權,讀取描述NIST國家漏洞數據庫(NVD)中的錯誤。
但是,需要用戶互動來利用此漏洞。
該漏洞首先在六月像素安全更新當僅針對Google擁有的像素陣容髮布補丁時。但是,CVE-2024-32896缺陷的影響不限於像素設備,包括整個Android生態系統。
“有跡象表明CVE-2024-32896可能受到有限的,有針對性的剝削”,” Google寫在2024年9月的Android安全公告中。
像往常一樣,Google尚未提供有關如何在野外利用漏洞的任何技術信息。
為了防止潛在的漏洞利用,強烈建議所有Android用戶立即在其設備上安裝安全更新。
要安裝最新的安全更新,轉到設置>系統>軟件更新>系統更新。
另外,您可以轉到設置>安全性和隱私>系統和更新>安全性更新然後單擊“檢查更新”按鈕。
除了CVE-2024-32896漏洞外,Google還在2024年9月的安全更新中還修補了影響Android框架和系統的九個高度缺陷。
