Google a lansat patch-uri pentru 50 de vulnerabilități de securitate care afectează dispozitivele sale Pixel și a avertizat că una dintre ele a fost deja exploatată în atacuri țintite ca un zero-day.
Tratat ca CVE-2024-32896, această deficiență de creștere a privilegiilor (EoP) în firmware-ul Pixel a fost evaluată ca o problemă de securitate de severitate ridicată.
„Există indicații că CVE-2024-32896 ar putea fi exploatat în mod limitat, țintit,” a avertizat compania marți.
„Toate dispozitivele Google suportate vor primi o actualizare la nivelul patch-ului 2024-06-05. Încurajăm toți clienții să accepte aceste actualizări pentru dispozitivele lor.”
Google a marcat alte 44 de bug-uri de securitate în buletinul de actualizare Pixel de acest lună, șapte dintre acestea fiind vulnerabilități de escaladare a privilegiilor considerate critice și care afectează diverse subcomponente.
În timp ce dispozitivele Pixel rulează și Android, ele primesc actualizări separate de securitate și corecții de bug-uri față de patch-urile lunare standard distribuite tuturor producătorilor de dispozitive Android datorită caracteristicilor și capacităților lor exclusive și platformei hardware unice controlate direct de Google.
Puteți găsi mai multe detalii despre actualizările din iunie 2024 pentru Pixel în buletinul de securitate dedicat gamei de smartphone-uri proprii Google.
Pentru a aplica actualizarea de securitate, utilizatorii Pixel trebuie să meargă la Setări > Securitate și confidențialitate > Sistem și actualizări > Actualizare de securitate, apoi să apese pe Instalare și să repornească dispozitivul pentru a finaliza procesul de actualizare.
Mai devreme în această lună, Arm a avertizat cu privire la o vulnerabilitate legată de memorie (CVE-2024-4610) în driverele kernelului GPU Bifrost și Valhall exploatate în sălbăticie.
Această vulnerabilitate de utilizare după eliberare (UAF) afectează toate versiunile driverelor Bifrost și Valhall de la r34p0 la r40p0 și poate fi exploatată în atacuri care duc la dezvăluirea informațiilor și executarea de cod arbitrar.
În aprilie, Google a remediat alte două zero-day-uri Pixel exploatate de firme de investigații pentru a debloca telefoanele fără un cod PIN și a accesa datele. CVE-2024-29745 a fost marcat ca o deficiență de dezvăluire a informațiilor de severitate ridicată în bootloader-ul Pixel, în timp ce CVE-2024-29748 este o deficiență de escaladare a privilegiilor de severitate ridicată în firmware-ul Pixel.
Android 15, Google Play Protect primesc noi caracteristici anti-malware și anti-fraudă
Google remediază al cincilea zero-day Chrome exploatat în atacuri în acest an
Google plătește acum până la 450.000 de dolari pentru bug-uri RCE în unele aplicații Android
Google a respins 2,28 milioane de aplicații Android riskante din Magazinul Play în 2023
CrushFTP avertizează utilizatorii să remedieze zero-day-ul exploatat „imediat”
Leave a Reply