Η Google κυκλοφόρησε μια μαζική ενημερωμένη έκδοση ασφαλείας για το Pixel μαζί με μια προειδοποίηση ότι μία από τις επιδιορθωμένες ευπάθειες έχει ήδη αξιοποιηθεί .
Η μηδενική ημέρα επισημαίνεται ως CVE-2024-32896 .Το σφάλμα φέρει αξιολόγηση υψηλής σοβαρότητας.
Η Google δεν μοιράστηκε λεπτομέρειες σχετικά με το zero-day πέρα από μία μόνο γραμμή στο δελτίο ασφαλείας του Pixel: “Υπάρχουν ενδείξεις ότι το CVE-2024-32896 μπορεί να βρίσκεται υπό περιορισμένη, στοχευμένη εκμετάλλευση”.
Το δελτίο ασφαλείας του Pixel τεκμηριώνει τουλάχιστον 44 ευπάθειες ειδικά για το Pixel που κυμαίνονται σε σοβαρότητα από κρίσιμη έως υψηλού και μέτριου κινδύνου. Η Google χαρακτήρισε επτά από τα 44 σφάλματα στην κατηγορία κρίσιμων.
“Ενθαρρύνουμε όλους τους πελάτες να αποδεχτούν αυτές τις ενημερώσεις στις συσκευές τους”, αναφέρει η Google σε μια συμβουλευτική που επισημαίνει επίσης σοβαρές ευπάθειες σε διάφορα υποσυστήματα κινητών συσκευών και λειτουργικού συστήματος.
Μεταξύ των κρίσιμων ευπαθειών, εντοπίστηκαν πολλαπλά ζητήματα αύξησης προνομίων σε στοιχεία όπως τα LDFW, Goodix, Mali, avcp και confirmationui, καθώς και ευπάθειες απομακρυσμένης εκτέλεσης κώδικα (RCE) υψηλής σοβαρότητας σε CPIF, WLAN και άλλα στοιχεία.
Η ενημερωμένη έκδοση περιλαμβάνει επίσης διορθώσεις για μια χούφτα εξαρτημάτων κλειστού κώδικα της Qualcomm και της Qualcomm.
Ξεχωριστά, ερευνητές ασφαλείας εφιστούν την προσοχή σε ένα σοβαρό ελάττωμα στο πρόγραμμα οδήγησης πυρήνα GPU Arm Mali, το οποίο επίσης χαρακτηρίζεται ως ενεργά εκμεταλλεύσιμο.
Η μηδενική ημέρα της Arm Mali εντοπίζεται ως CVE-2024-4610 και επιτρέπει ακατάλληλες λειτουργίες επεξεργασίας μνήμης GPU, σύμφωνα με μια συμβουλευτική της Arm που αναγνωρίζει την εκμετάλλευση της μηδενικής ημέρας in-the-wild.
“Αυτό το πρόβλημα έχει διορθωθεί στο Bifrost και στο Valhall GPU Kernel Driver r41p0. Η Arm γνωρίζει αναφορές για εκμετάλλευση αυτής της ευπάθειας στην άγρια φύση. Συνιστάται στους χρήστες να αναβαθμίσουν εάν επηρεάζονται από αυτό το ζήτημα”, δήλωσε η Arm.
Μέχρι στιγμής φέτος, έχουν καταγραφεί 41 in-the-wild επιθέσεις zero-day. Ο κώδικας λογισμικού ή τα προϊόντα της Google ευθύνονται για οκτώ από τα 41 zero-day που έχουν παρατηρηθεί μέχρι σήμερα το 2024.