吳明宜Google發佈Android三月安全更新,修補43個漏洞,包括遭駭客攻擊的CVE-2024-43093與CVE-2024-50302。其中CVE-2024-43093為框架特權升級漏洞,CVE-2024-50302則為Linux核心漏洞,曾被執法機關濫用。Pixel手機率先獲得更新。
Google 上星期發佈 Android 三月安全更新,修補 43 個漏洞,包括二個已經被駭客攻擊的漏洞。
這 2 個遭攻擊的漏洞包括 CVE-2024-43093 及 CVE-2024-50302,Google 表示,2 個漏洞已經遭到有限度的精準濫用,2 個都已加入美國 CISA 的遭濫用已知漏洞資料庫。
其中較嚴重的是 CVE-2024-43093,CVSS 風險評分 7.8,這是一個框架特權升級漏洞,可讓攻擊者在不需其他執行權限下,即可提高本機權限,但仍然需要使用者互動才可能攻擊成功。
CVE-2024-50302 是 Linux 核心漏洞,曾經讓數名塞爾維亞學生異議人士遭執法機關,利用間諜工具 Cellbrite 非授權存取手機的核心記憶體。國際特赦組織安全研究人員發現塞國當局以包含此一漏洞的漏洞串攻擊,來監聽學生對外通訊。
Google 三月份的 Android 安全更新修補了 11 個高風險漏洞及 10 個重大風險漏洞,最嚴重的可能導致遠端程式碼執行。 Google 同時修補了 9 個影響 Android 框架的高風險漏洞。
Pixel 手機用戶會最先獲得最新 Android 安全更新,但其他品牌業者稍後也會跟上。 Google 表示,修補程式會釋出到 Android Open Source Project (AOSP) 儲存庫,但 Google 向來鼓勵手機合作夥伴依循每月安全更新修補所有漏洞。
來源:Cyberscoop