谷歌警告 Pixel 固件零日漏洞遭利用

谷歌推出了大规模 Pixel 安全更新,同时警告称其中一个已修补的漏洞已被利用。该零日漏洞被标记为 CVE-2024-32896,被描述为 Pixel 固件中的特权提升问题,该漏洞的严重性等级为高。

谷歌没有在 Pixel 安全公告中分享有关该零日漏洞的详细信息,除了一行字:“有迹象表明 CVE-2024-32896 可能受到有限的、有针对性的利用。”

Pixel安全公告记录了至少 44 个 Pixel 特有的漏洞,严重程度从严重到高风险再到中等风险不等。谷歌将 44 个漏洞中的 7 个标记为严重类别。

谷歌在一份公告中表示:“我们鼓励所有客户在其设备上接受这些更新。”该公告还指出了各种移动设备和操作系统子组件中存在的严重漏洞。 

在高危漏洞中,LDFW、Goodix、Mali、avcp、confirmationui 等组件中发现了多个提权问题,CPIF、WLAN 和其他组件中发现了高危远程代码执行(RCE)漏洞。

该更新还包含对少数 Qualcomm 和 Qualcomm 闭源组件的修复。

另外,安全研究人员还提请注意 Arm Mali GPU 内核驱动程序中的一个严重缺陷,该缺陷也被标记为正在被积极利用。

根据Arm承认存在零日漏洞被利用,Arm Mali 零日漏洞的编号为 CVE-2024-4610,允许不当的 GPU 内存处理操作。 该问题已在 Bifrost 和 Valhall GPU 内核驱动程序 r41p0 中修复。如果用户受到此问题的影响,建议进行升级。

Leave a Comment

Your email address will not be published. Required fields are marked *