聚焦源代码安全,网罗国内外最新资讯!
作者:Pierluigi Paganini
编译:代码卫士
尽管Pixel 手机运行安卓系统,不过会从对所有安卓设备OEM发送的月度补丁中获得安全更新。这是因为谷歌直接控制它们的唯一硬件平台、唯一特性和能力。
虽然安卓4月安全公告中并不包含任何严重问题,但 Pixel 设备的安全公告披露了对两个0day漏洞的利用,它们是CVE-2024-29745和CVE-2024-29748。
谷歌提醒称,“有线索表明这两个漏洞可能已遭有限的针对性利用。”CVE-2024-29745是位于 Pixel 引导程序中的高危信息泄露漏洞,CVE-2024-29748是位于 Pixel 固件中的高危提权漏洞。
从事隐私增强和安全的安卓分发平台 GrapheneOS称已发现取证公司正在活跃利用这些漏洞。这两个漏洞可导致企业解锁和访问具有物理访问权限的谷歌 Pixel 设备上的内存。
几个月前,GrapheneOS发现并报送了这些漏洞,公开分享了一些信息,不过并未透露细节,避免在补丁发布前引发大规模的利用。GrapheneOS 平台指出,“CVE-2024-29745是位于用于支持解锁/删除/锁定 fastboot 固件中的漏洞。取证企业在Pixel和其它设备上将处于‘首次解锁后’状态的设备重启为 fastboot 模式,利用其中的漏洞并转储内存。”
谷歌清空了启动fastboot模式时的内存,完成后仅启用 USB 连接,从而使攻击不可行。GrapheneOS 提到,CVE-2024-29748可导致本地攻击者避开由使用设备管理API的应用所发起的出厂重置,导致此类重置不安全。GrapheneOS 表示,谷歌对该漏洞的修复不完整,可能是不正确的,通过切断电源的方式仍然可能阻止刷新。目前该平台正在着手准备更加健壮的强制性 PIN/密码实现以及无需重启的更安全的 “紧急擦除” 操作。
2024年4月的Pixel安全更新修复了24个漏洞,包括严重的提权漏洞CVE-2024-29740。用户可导航至设置>安全和隐私>系统和更新>安全更新,并点击“安装”。完成更新需重启设备。
谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day
https://www.bleepingcomputer.com/news/security/google-fixes-two-pixel-zero-day-flaws-exploited-by-forensics-firms/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~