谷歌已经发布了 Android 操作系统的月度安全更新,以解决一个已知的安全漏洞,它表示该漏洞已在野外被积极利用。该高严重性漏洞被跟踪为 CVE-2024-32896(CVSS 评分:7.8),与 Android 框架组件中的权限升级有关。根据 NIST 国家漏洞数据库 (NVD) 中的错误描述,它涉及一个逻辑错误,该错误可能导致本地权限升级,而无需任何额外的执行权限。“有迹象表明,CVE-2024-32896 可能受到有限的、有针对性的利用,”谷歌在其 2024 年 9 月的 Android 安全公告中表示。值得注意的是,CVE-2024-32896 于 2024 年 6 月首次披露,仅影响 Google 拥有的 Pixel 系列。目前没有关于该漏洞如何被广泛利用的详细信息,尽管 GrapheneOS 维护者透露,CVE-2024-32896 为 CVE-2024-29748 提供了部分解决方案,CVE-2024-29748 是另一个已被取证公司武器化的 Android 漏洞。谷歌后来向 The Hacker News 证实,CVE-2024-32896 的影响超出了 Pixel 设备,包括整个 Android 生态系统,并且它正在与原始设备制造商 (OEM) 合作,在适用的情况下应用修复程序。“此漏洞需要对设备进行物理访问才能利用并中断出厂重置过程,”谷歌当时指出。“需要额外的漏洞来破坏设备。”“我们正在优先考虑其他 Android OEM 合作伙伴的适用修复程序,并将在可用后立即推出。作为最佳安全实践,只要有新的安全更新可用,用户就应始终更新其设备。
