谷歌(Google)警告说,一个影响其安卓操作系统的安全漏洞已在野外被积极利用。
根据一条代码提交信息,这个被追踪为 CVE-2024-43093 的漏洞被描述为 Android Framework 组件中的权限升级漏洞,可能导致未经授权访问 “Android/data”、“Android/obb ”和 “Android/sandbox ”目录及其子目录。
目前还没有关于该漏洞如何在实际攻击中被武器化的详细信息,但谷歌在其月度公告中承认,有迹象表明该漏洞 “可能正在被有限的、有针对性的利用”。
该科技巨头还标记了 CVE-2024-43047,这是高通芯片组中一个现已被修补的安全漏洞,已被积极利用。该安全漏洞是数字信号处理器(DSP)服务中的一个 “使用后免费 ”漏洞,成功利用该漏洞可能会导致内存损坏。
上个月,该芯片制造商感谢谷歌 “零项目 ”研究员塞斯-詹金斯(Seth Jenkins)和王聪慧(Conghui Wang)报告了这一漏洞,并感谢大赦国际安全实验室(Amnesty International Security Lab)证实了这一野外活动。
尽管该漏洞有可能已被用作针对民间社会成员的高针对性间谍软件攻击的一部分,但该公告并未提供针对该漏洞的漏洞利用活动的详细信息,也未说明漏洞利用活动是何时开始的。
目前还不知道这两个安全漏洞是否一起作为漏洞利用链来提升权限和实现代码执行。
CVE-2024-43093是继CVE-2024-32896之后第二个被积极利用的Android框架漏洞,谷歌早在2024年6月和9月就修补了该漏洞。虽然该漏洞最初只针对 Pixel 设备得到了解决,但该公司后来证实,该漏洞影响了更广泛的 Android 生态系统。