谷歌周一宣布修复 Android 中的 46 个漏洞，其中包括一个导致远程代码执行的严重错误。

该漏洞编号为 CVE-2024-0031，影响 Android 开源项目 (AOSP) 版本 11、12、12L、13 和 14，已在平台的系统组件中发现。

谷歌在其公告中解释说：“这些问题中最严重的是系统组件中的一个关键安全漏洞，该漏洞可能导致远程代码执行，而无需额外的执行权限。”

该漏洞已作为 Android 2024-02-01 安全补丁级别的一部分得到解决，总共解决了 15 个安全缺陷。

其余 14 个问题均为导致特权提升或信息泄露的高严重性漏洞。其中九个错误影响框架组件，而其余五个则影响 Android 的系统组件。

本月 Android 更新的第二部分以2024-02-05 安全补丁级别发布在设备上，修复了 Arm、MediaTek、Unisoc 和 Qualcomm 组件中的 31 个高严重性安全缺陷。

周一，谷歌还宣布了针对影响其 Pixel 设备的七个漏洞的补丁。其中五个是在高通的音频子组件中发现的。

所有七个问题以及 Android 2024 年 2 月更新中包含的缺陷均已在运行 2024 年 2 月 5 日安全补丁的 Pixel 设备上得到修复。

Android Automotive OS、Wear OS 和 Pixel Watch 更新也已发布，以提供2024-02-05 安全补丁级别中包含的补丁。然而，这两个平台都没有解决其他漏洞。

同样在周一，三星宣布为数十种符合条件的设备发布一套新的软件更新。该更新包括 Android 2024 年 2 月修复和针对三星产品特定漏洞的补丁。

建议用户在软件更新可用后立即更新其设备。

佳能修补小型办公打印机中的 7 个严重漏洞

日本电子产品制造商佳能周一宣布了软件更新，修复了影响几种小型办公打印机型号的七个严重漏洞。

这些被描述为缓冲区溢出错误的问题可以通过网络进行远程代码执行 (RCE) 或导致易受攻击的产品变得无响应。

“这些漏洞表明，如果产品不使用路由器（有线或 Wi-Fi）直接连接到互联网，未经身份验证的远程攻击者可能能够执行任意代码和/或能够瞄准该产品在通过互联网的拒绝服务 (DoS) 攻击中，”佳能指出。

这些缺陷被追踪为 CVE-2023-6229 到 CVE-2023-6234 和 CVE-2024-0244。根据日本漏洞信息门户网站JVN 的数据，他们的 CVSS 评分为 9.8。

NIST 公告显示，这些缺陷是在 CPCA PDL 资源下载过程、地址簿密码过程、WSD 探测请求过程、地址簿用户名过程、SLP 属性请求过程、CPCA 颜色 LUT 资源下载过程和 CPCA PCFAX 号码等组件中发现的。过程。

易受攻击的打印机型号因地区而异：欧洲为 i-SENSYS LBP673Cdw、MF752Cdw、MF754Cdw、C1333i、C1333iF 和 C1333P 系列，北美为 imageCLASS MF753CDW、MF751CDW、MF1333C、LBP674CDW 和 LBP1333C 系列；以及日本的 Satera LBP670C 和 MF750C 系列。

不过，对于所有型号，这些漏洞都会影响固件版本 03.07 及更早版本。可以在佳能的地区网站上找到解决这些错误的更新。

“目前还没有关于这些漏洞被利用的报告。然而，为了增强产品的安全性，我们建议客户安装适用于受影响型号的最新固件，”佳能在其欧洲支持网站上表示。

鉴于上述漏洞可以被远程利用，我们还建议客户限制对打印机的访问，将它们隐藏在防火墙或路由器后面，并为其设置私有 IP 地址。

佳能指出，所有七个安全缺陷都是通过趋势科技的零日计划 (ZDI) 报告的。

Fortinet 警告新的 FortiOS 零日漏洞

Fortinet 修补了 CVE-2024-21762，这是一个可能已被广泛利用的关键远程代码执行漏洞。

Fortinet 周四发布了针对 FortiOS 中可能已被利用的关键远程代码执行漏洞的补丁。 

该安全漏洞编号为CVE-2024-21762，影响 FortiOS 版本 6.0、6.2、6.4、7.0、7.2 和 7.4。已针对每个受影响的版本发布了补丁（6.0 除外）——建议 6.0 用户迁移到较新的版本。FortiOS 7.6 不受该漏洞影响。

作为解决方法，用户可以禁用 SSL VPN 功能。Fortinet 表示，禁用 SSL VPN Web 模式并不能缓解该漏洞。

CVE-2024-21762 似乎是一个零日漏洞，Fortinet 表示它“可能在野外被利用”。

该漏洞被描述为越界写入问题，未经身份验证的远程攻击者可以利用该漏洞使用特制的 HTTP 请求执行任意代码。 

Fortinet 尚未分享有关可能利用 CVE-2024-21762 的攻击的任何信息，但该公司发布公告之际，它透露一些客户尚未修补两个较旧的漏洞 CVE-2022-42475 和 CVE-2023-27997，这两个漏洞已被用于与中国和其他国家相关的 APT 攻击。 

据了解，名为Volt Typhoon的中国威胁组织除了思科和 Netgear 的产品外，还以 Fortinet 设备为目标，试图将它们陷入僵尸网络。美国最近破坏了这个僵尸网络。 

同样在周四，Fortinet 宣布了CVE-2024-23113的补丁，这是一个内部发现的问题，可被利用用于未经身份验证的远程代码执行。

—END—

原文始发于微信公众号（祺印说信安）：Android、佳能漏洞已修复，Fortinet警告零日漏洞