导 读
谷歌周一宣布,在 Android 2024 年 11 月的安全更新中修复了 40 多个漏洞,其中包括两个已被攻击利用的漏洞。
国际特赦组织和谷歌威胁分析小组 (TAG) 发现野外利用的证据后, 第一个被利用的安全缺陷被追踪为 CVE-2024-43047,于上个月被披露。
高通公司上个月发布了针对该问题的补丁,警告称该问题影响数十种芯片组,并将其描述为数字信号处理器 (DSP) 服务中的一个高严重程度的释放后利用漏洞。
高通上个月表示:“影响 FASTRPC 驱动程序的问题补丁已经提供给 OEM,同时强烈建议尽快在受影响的设备上部署更新。”
CVE-2024-43047 被谷歌和大赦国际发现这一事实表明,它很可能已被商业间谍软件供应商利用来针对 Android 设备。
第二个被利用的漏洞是 CVE-2024-43093,是 Android 框架组件中的一个高严重性特权提升漏洞。它还影响通过 Google Play 更新的 Project Mainline 的 Documents UI 组件。
尽管谷歌警告称,有迹象表明 CVE-2024-43047 和 CVE-2024-43093“可能受到有限的、有针对性的利用”,但它尚未分享有关所观察到的攻击的具体信息。
CVE-2024-43047 已在 Android 2024 年 11 月安全更新的第一部分中得到解决,该更新以2024-11-01 安全补丁级别发布在设备上,共解决了框架和系统组件中的 17 个高严重漏洞。
更新的第二部分以2024-11-05 安全补丁级别发布在设备上,包含对 23 个漏洞的修复,包括 CVE-2024-43093。谷歌在其公告中指出,它还包括更新的内核版本。
谷歌周一还宣布,Wear OS 2024 年 11 月的安全更新除了修复 Android 2024 年 11 月公告中描述的缺陷外,还包含针对两个错误的补丁。
2024 年 11 月的 Android Automotive OS 更新公告除 Android 公告中的补丁外,不包含任何新补丁。
参考谷歌2024年11月安全公告:https://source.android.com/docs/security/bulletin/2024-11-01
新闻链接:
https://www.securityweek.com/google-patches-two-android-vulnerabilities-exploited-in-targeted-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):谷歌修复两个被针对性攻击利用的 Android 漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论