谷歌已发布2024年9月的Android安全更新,修复了多个Android组件中的大量漏洞。本次更新尤为值得注意的是,它修复了一个已在被利用的高危本地权限提升漏洞(CVE-2024-32896)。
CVE-2024-32896概述
本次更新中修复的最关键问题之一是Android框架组件中的逻辑错误,编号为CVE-2024-32896。该漏洞的CVSS评分为7.8,允许本地攻击者在无需额外执行权限的情况下提升权限。该漏洞最初于2024年6月披露,当时报告称它作为零日漏洞被用于攻击Pixel设备。尽管谷歌在2024年6月的Pixel安全更新中修复了这一漏洞,但现在谷歌再次发出警告,表明该漏洞可能仍在有限、针对性攻击中被利用。
2024年9月安全更新内容
本次9月安全更新分为两个部分,每部分解决一组特定的漏洞:
2024-09-01安全补丁级别:
该补丁修复了10个安全缺陷,包括框架组件中的3个漏洞和系统组件中的7个漏洞。所有这些漏洞均为高危漏洞,其中CVE-2024-32896最为关键。
2024-09-05安全补丁级别:
更新的第二部分针对内核、Arm、Imagination Technologies、Unisoc和Qualcomm等组件中的25个漏洞。需要2024-09-05或更高的Android安全补丁级别才能完全消除这些风险。
Pixel设备和Android 15更新
除了广泛的Android更新外,谷歌还发布了针对Pixel设备的专用安全更新,修复了6个漏洞,其中4个被分类为严重的权限提升漏洞。尽管谷歌尚未报告这些特定于Pixel的漏洞被利用的情况,用户仍被建议将设备更新至2024-09-05或更高的安全补丁级别以确保全面保护。
此外,谷歌还发布了另一份公告,重点介绍了Android 15更新中解决的14个安全缺陷。运行Android 15且安全补丁级别为2024-09-01或更高的设备已受到这些漏洞的保护。
汽车操作系统和Wear OS的更新
除了Android和Pixel的更新,谷歌还发布了针对其汽车操作系统(Automotive OS)和Wear OS平台的补丁。汽车操作系统更新解决了一个漏洞,而Wear OS更新则解决了四个安全问题。
总结
2024年9月的Android安全更新对所有Android用户来说都至关重要,尤其是使用Pixel设备的用户。鉴于CVE-2024-32896被利用历史,该漏洞的修复尤为重要。强烈建议用户尽快应用最新更新,以保护设备免受潜在攻击。一如既往,保持安全补丁的最新状态是维护安全移动环境的关键做法。
