谷歌推出了针对 Pixel 设备的 2024 年 12 月安全更新,共解决了 28 个漏洞,包括蜂窝基带子组件中的两个关键远程代码执行 (RCE) 漏洞。 更新分两部分推出,第一部分解决框架和系统组件中的六个安全缺陷,第二部分解决 Imagination Technologies、联发科(MediaTek)和高通(Qualcomm)组件中的漏洞。
两个关键漏洞(CVE-2024-39343 和 CVE-2024-53842)位于蜂窝基带子组件中,可允许远程攻击者在易受攻击的设备上执行任意代码。
除了关键的 RCE 漏洞外,更新还解决了几个高严重性漏洞,包括:
eSIM (CVE-2024-8257)、VPN (CVE-2024-11624) 和 FPS (CVE-2024-53835 & CVE-2024-53840)组件中的权限提升 (EoP) 漏洞。
系统组件生成远程执行代码漏洞 (CVE-2024-43767),可在没有额外执行权限下被利用。
修复跨越多个 Android 版本(12 至 15),更新的源代码可在 Android 开源项目 (AOSP) 存储库中获取。
谷歌尚未披露任何有关这些漏洞在野外被积极利用的信息。 不过,我们强烈建议用户在安全更新可用后尽快更新其 Pixel 设备,以降低潜在的攻击风险。
更新将分阶段推出,因此可能需要一些时间才能到达所有设备。 用户可以通过 “设置”>“系统”>“系统更新 ”手动检查更新。
文章原文链接:https://www.anquanke.com/post/id/302520