Компания Google выпустила исправления для уязвимостей в своих устройствах Pixel и предупредила, что одна из проблем уже активно эксплуатировалась злоумышленниками в целевых атаках в качестве бага нулевого дня.
Уязвимость, получившая идентификатор CVE-2024-32896, представляет собой брешь в безопасности прошивки Pixel, позволяющую повысить привилегии. Данная проблема относится к категории высокой степени серьезности.
«Имеются свидетельства того, что CVE-2024-32896 могла быть задействована в ограниченных целенаправленных атаках, — предупредили представители Google. — Все поддерживаемые устройства Google получат обновление безопасности до уровня патча 2024-06-05. Мы настоятельно рекомендуем всем пользователям установить эти обновления на свои устройства».
На данный момент компания не раскрывает подробностей о самой уязвимости и атаках, в которых она использовалась.
Кроме того, в этом месяце Google выпустила исправления для 44 других ошибок в устройствах Pixel, семь из которых считаются критическими уязвимостями повышения привилегий и затрагивают различные компоненты системы (включая LDFW, Goodix, Mali, avcp и Confirmui).
Стоит отметить, что в апреле Google уже исправляла две проблемы нулевого дня в Pixel, которые, как выяснилось позже, использовались киберпреступниками для разблокировки телефонов без PIN-кода и получения доступа к хранящимся на них данным. Уязвимость CVE-2024-29745 описывалась как серьезный недостаток, связанный с раскрытием информации в загрузчике Pixel, а проблема CVE-2024-29748 была обнаружена в прошивке Pixel и связана с повышением привилегий.
Таким образом, компания Google продолжает работу по обеспечению безопасности своих устройств Pixel, оперативно выпуская исправления для обнаруженных уязвимостей, в том числе и тех, которые уже активно эксплуатируются злоумышленниками. Пользователям настоятельно рекомендуется своевременно устанавливать обновления безопасности, чтобы защитить свои устройства и данные от потенциальных угроз.