聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这两个漏洞是CVE-2024-43047和CVE-2024-43093,已被标记为遭有限的针对性攻击。CVE-2024-43047是位于安卓内核中闭源高通组件中的一个高危释放后使用漏洞,可用于提升权限。该漏洞由高通在2024年10月早些时候首次披露,表示它存在于 Digital Signal Processor (DSP) 服务中。
CVE-2024-43093也是一个高危的提权漏洞,影响安卓 Framework 组件和 Google Play 系统更新,尤其是 Documents UI。谷歌并未披露该漏洞的发现者信息。
虽然谷歌并未分享这些漏洞遭利用的方式,但 Amnesty International 是CVE-2024-43047的发现方,这表明该漏洞用于针对性监控攻击中。
在余下的49个漏洞中,只有CVE-2024-38408被列为严重级别,也影响高通的专有组件。
本月修复的这些漏洞影响安卓12至15之间的版本,其中一些漏洞仅影响其中的一些特定版本。
谷歌每个月都会发布两个补丁级别,本月发布的是11月1日(2024-11-01 补丁级别)和11月5日(2024-11-05补丁级别)。第一个级别修复了17个严重的安卓漏洞,而第二个补丁级别除此以外还修复了特定厂商(高通、联发科等)的漏洞,即34个。
用户可到“设置>系统>软件更新>系统更新”或者“设置>安全和隐私>系统和更新>安全更新”应用最新更新。应用更新需重启设备。虽然安卓11和更早版本已不再受支持,但可通过 Google Play 系统更新接收遭活跃利用漏洞的安全更新。仍然运行这些老旧发布的设备应当更新为更新机型或者使用第三方安卓发布集成最新的安全修复方案。
原文始发于微信公众号(代码卫士):谷歌修复已遭利用的两个安卓 0day 漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论