Update June 13, 13:01 EDT: GrapheneOSによると、CVE-2024-32896はCVE-2024-29748と同じである。Googleは、 4月に報告されたように、複数のフォレンジック企業によって悪用された脆弱性であるCVE-2024-29748のPixelの修正を追跡するために、新しいCVE IDを追加した。
“Wasted “や “Sentry “のようなアプリが攻撃を検知した際にデバイスを消去しようとするユーザーに対して、フォレンジック企業によって悪用されていました。GrapheneOSは、「私たちは、強迫PIN /パスワード機能を作成する一環として、それに対処し、GoogleがAndroid全体でそれを修正するためにそれを報告し、それが今行われている」と述べた。
「Pixelsでは6月のアップデート(Android 14 QPR3)で修正され、他のAndroid端末でもAndroid 15にアップデートすれば修正されるでしょう。Android 15にアップデートしない場合は、バックポートされていないため、おそらく修正されないだろう。すべてのパッチがバックポートされるわけではありません。
タイトルはPixel固有のアップデートであることを示すために修正された。原文は以下の通り。
Googleは、同社のPixelデバイスに影響を与える50件のセキュリティ脆弱性に対するパッチをリリースし、そのうちの1件がすでにゼロデイとして標的型攻撃に悪用されていると警告した。
CVE-2024-32896として追跡されているこのPixelファームウェアの特権昇格(EoP)の欠陥は、深刻度の高いセキュリティ問題と評価されている。
同社は今週火曜日、「CVE-2024-32896が限定的かつ標的型の悪用を受けている可能性があるとの指摘がある」と警告した。
「サポートされているすべてのグーグルデバイスには、2024-06-05パッチレベルのアップデートが提供されます。我々は、すべての顧客が自分のデバイスにこれらのアップデートを受け入れることをお勧めします。”
Googleは、今月のPixelアップデート速報で44の他のセキュリティバグをタグ付けしており、そのうちの7つは、様々なサブコンポーネントに影響を及ぼす重大とみなされる特権昇格の脆弱性である。
Pixel端末もAndroidを搭載しているが、独自の機能と性能を持ち、Googleが直接管理する独自のハードウェア・プラットフォームであるため、すべてのAndroid OEMに配布される標準的な月例パッチとは別のセキュリティおよびバグ修正アップデートが提供される。
Pixel向け2024年6月アップデートの詳細は、Google独自のスマートフォンシリーズに特化したセキュリティ情報をご覧ください。
セキュリティ・アップデートを適用するには、Pixelユーザーは「設定」>「セキュリティとプライバシー」>「システムとアップデート」>「セキュリティ・アップデート」と進み、「インストール」をタップしてデバイスを再起動し、アップデート・プロセスを完了させる必要がある。
今月初め、ArmはBifrostおよびValhall GPUカーネルドライバにメモリ関連の脆弱性(CVE-2024-4610)が存在し、悪用されていると警告した。
このuse-after-free脆弱性(UAF)は、r34p0からr40p0までのすべてのバージョンのBifrostおよびValhallドライバに影響し、情報漏洩や任意のコード実行につながる攻撃に悪用される可能性がある。
Googleは4月、フォレンジック企業がPINなしで携帯電話のロックを解除し、データにアクセスするために悪用した、他の2つのPixelのゼロデイを修正した。CVE-2024-29745は、Pixelのブートローダにおける重大性の高い情報漏えいのバグとしてタグ付けされ、CVE-2024-29748は、Pixelファームウェアにおける重大性の高い特権昇格のバグである。
Comments