Компания Google выпустила исправления для уязвимостей в своих устройств Pixel и предупредила, что одна из проблем уже использовалась в целевых атаках, в качестве бага нулевого дня.
Уязвимость получила идентификатор CVE-2024-32896 и представляет собой проблему повышения привилегий в прошивке Pixel, то есть относится к категории проблем высокой степени серьезности.
«Есть признаки того, что CVE-2024-32896 может подвергаться ограниченной целенаправленной эксплуатации, — предупредили в компании. — Все поддерживаемые устройства Google получат обновление до уровня патча 2024-06-05. Мы рекомендуем всем пользователям установить эти обновления на свои устройства».
Никаких подробностей о самой проблеме, а также об атаках, в которых она использовалась, пока не сообщается.
Также среди обновлений для Pixel, вышедших в этом месяце, месяце Google выделила 44 других ошибки, семь из которых являются уязвимостями повышения привилегий и считаются критическими, влияя на различные компоненты (включая LDFW, Goodix, Mali, avcp и Confirmui).
Отметим, что в апреле Google исправила еще две 0-day проблемы в Pixel, которые, как оказалось, использовались киберкриминалистами для разблокировки телефонов без PIN-кода и получения доступа к хранящимся на них данным. Так, CVE-2024-29745 описывалась как серьезный недостаток, связанный с раскрытием информации в загрузчике Pixel, а проблема CVE-2024-29748 была обнаружена в прошивке Pixel и ее связывали с повышением привилегий.
UPD.
Как сообщили разработчики GrapheneOS, баг CVE-2024-32896 — эта та же уязвимость, что и CVE-2024-29748. Просто инженеры Google присвоили проблеме новый идентификатор CVE, специально для устройств Pixel.
Как сообщалось в апреле 2024 года, уязвимость CVE-2024-29748 использовалась киберкриминалистами для разблокировки смартфонов без PIN-кода и получения доступа к хранящимся на них данным. Также этот баг позволял блокировать такие решения, как Wasted и Sentry, которые пытаются стереть все данные с устройства в случае обнаружения атаки.
