שחרורו של מרץ 2025 של עלון האבטחה של אנדרואיד לא רק עוסק ב -44 פגיעויות בסך הכל-הוא גם תיקון שתי פגיעויות פעילות בעלות חומר גבוה שנמצאים בניצול בטבע. לדברי גוגל, CVE-2024-43093 ו- CVE-2024-50302 שניהם תחת "ניצול מוגבל וממוקד" ובתגובה, החברה פרסמה שתי רמות תיקון אבטחה.
שתי רמות תיקון האבטחה הן 2025-03-01 ו- 2025-03-05 שנועדו לתת גמישות ולהתייחס במהירות לחלק של פגיעויות דומות בכל מכשירי אנדרואיד.
שתי הפגיעויות הגבוהות הן שניהם פגמי הסלמת הפריבילגיה; CVE-2024-43092 הוא פגם בהסלמת פריבילגיה ברכיב המסגרת שיכול לאפשר גישה בלתי מורשית בספריות או במערכת תת-ספירות, בעוד ש- CVE-2024-50302 היא פגם הפקה של הפרישיות במדווחים על ידי ה- USB של ה- USB של דיווחים על תוקף של זיכרון המוצא.
אולי תאהב
-
גוגל פשוט תיקנה פגם בגרעין אפס-יום המשמש את האקרים ו -47 פגיעויות אחרות-עדכן את טלפון האנדרואיד שלך ברגע זה
-
טלאי מיקרוסופט מעל 160 פגמי אבטחה כולל 3 ימי אפס פעילים – עדכן את המחשב שלך עכשיו
הפגיעות הראשונה, CVE-2024-43092, סומנה בעבר על ידי גוגל כמנוצלת באופן פעיל במייעצת בנובמבר 2024; עם זאת, אין פרטים מדוע הונפקה ההתראה בפעם השנייה.
הפגיעות השנייה, CVE-2024-50302, היא אחת משלושה ששימשה בניצול אפס-יום בדצמבר 2024 כדי לפרוץ לטלפון אנדרואיד של פעיל נוער סרבי. ניצול זה הטיל שלוש פגיעויות נוספות (במקרה זה, CVE-2024-53104, CVE-2024-53197, CVE-2024-50302) כדי להשיג הרשאות גבוהות ולפרוס תוכנות ריגול אנדרואיד שכונו את נוביספי.
שלוש הפגיעויות הללו שוכנות בגרעין לינוקס וטופלו בשנה שעברה, כאשר CVE-2024-53104 טופלו על ידי גוגל בעדכון האבטחה של אנדרואיד בחודש שעבר.
