Google は、実際に活発に悪用されている Android オペレーティング システムの重大なゼロデイ脆弱性を特定し、パッチを適用しました。
CVE-2024-32896 (CVSS スコア: 7.8) として追跡されている高重大度の脆弱性は、Pixel ファームウェアの高重大度の特権昇格 (EoP) の欠陥として分類されています。
特権昇格の脆弱性は、低い特権を持つユーザーまたはアプリが、通常は高い特権を持つユーザーまたはアプリ専用に予約されている機能またはコンテンツにアクセスできる場合に発生します。悪用されると、攻撃者はデータの窃取やマルウェアのインストールなどの行為を実行する可能性があります。
CVE-2024-32896 は Android フレームワーク コンポーネントのロジック エラーに関連しており、追加の実行権限を必要とせずにローカルで権限が昇格される可能性があります。説明NIST National Vulnerability Database (NVD) のバグの説明。
ただし、この脆弱性を悪用するにはユーザーの操作が必要です。
この脆弱性は最初に報告されました。6 月の Pixel セキュリティ アップデートGoogle 所有の Pixel ラインナップに対してのみパッチがリリースされたとき。ただし、CVE-2024-32896 の欠陥の影響は Pixel デバイスに限定されず、Android エコシステム全体に影響します。
「CVE-2024-32896 は限定的かつ標的を絞った悪用を受けている可能性があるという兆候があります」と Google書きました2024 年 9 月の Android セキュリティ情報で。
いつものように、Google はこの脆弱性が実際にどのように悪用されているかに関する技術情報を提供していません。
潜在的なエクスプロイトから保護するために、すべての Android ユーザーがデバイスにセキュリティ アップデートをすぐにインストールすることを強くお勧めします。
最新のセキュリティ更新プログラムをインストールするには、[設定] > [システム] > [ソフトウェア アップデート] > [システム アップデート] に移動します。
または、[設定] > [セキュリティとプライバシー] > [システムとアップデート] > [セキュリティ アップデート] に移動することもできます。そして「アップデートを確認」ボタンをクリックしてください。
CVE-2024-32896 脆弱性のほかに、Google は 2024 年 9 月のセキュリティ アップデートで、Android フレームワークとシステムに影響を与える別の 9 つの重大度の高い欠陥にもパッチを適用しました。