CVE-2024-43096 及更多：Android 安全更新中修复的关键 RCE 漏洞

2025 年 1 月的 Android 安全公告重点介绍了影响全球数百万 Android 设备的严重安全漏洞。借助 2025-01-05 安全补丁级别，Google 解决了一系列问题，涉及系统、框架、媒体框架以及高通和联发科的特定供应商硬件等组件。

系统组件被发现存在严重漏洞（CVE-2024-43096、CVE-2024-43770、CVE-2024-43771、CVE-2024-49747 和 CVE-2024-49748），无需额外执行权限即可实现远程代码执行 (RCE)。利用这些漏洞，攻击者可以在受影响的设备上执行任意代码，对数据机密性和系统完整性造成重大风险。

运行 Android 12 至 Android 15 的设备特别容易受到攻击。Google 建议立即应用更新以防止攻击。

Framework 和 Media Framework 组件包含高严重性漏洞，包括 CVE-2024-49724 和 CVE-2023-40132，这些漏洞可能允许攻击者在本地提升权限。这些漏洞不需要额外的执行权限，因此更容易被利用。运行 Android 12 及更高版本的设备容易受到攻击。

该公告还解决了联发科组件中的严重漏洞，例如影响调制解调器的 CVE-2024-20154 和影响 WLAN 功能的 CVE-2024-20146。利用这些漏洞可能会导致设备受损，尤其是在网络或语音通信场景中。

高通组件暴露了类似的风险，包括严重程度较高的内核和 WLAN 漏洞（CVE-2024-21464、CVE-2024-45558）。这些问题可能导致未经授权的访问和潜在的系统崩溃。

Google 在发布前一个月就已通知 Android 合作伙伴这些漏洞，以便设备制造商能够将修复程序纳入其安全更新中。源代码补丁将在 Android 开源项目 (AOSP) 存储库中提供。

原文始发于微信公众号（Ots安全）：CVE-2024-43096 及更多：Android 安全更新中修复的关键 RCE 漏洞