4月2日Google針對Pixel手機推出本月例行更新,並提及其中有2個高風險漏洞CVE-2024-29745、CVE-2024-29748,已被用於針對有限目標的攻擊行動。
其中,CVE-2024-29745為資訊洩露漏洞,與開機載入工具有關;CVE-2024-29748為權限提升漏洞,涉及手機韌體,兩者皆為高風險層級的漏洞。
而對於上述兩項零時差漏洞,通報此事的Android作業系統GrapheneOS開發團隊進一步提出說明,並表示有鑑識公司正在利用這些漏洞。
值得留意的是,雖然為了採取證據,鑑識公司往往會需要藉由破解系統的手段來達到目的,但這樣的零時差漏洞,也同樣有可能會被駭客利用,而讓用戶曝露危險。
針對對方利用漏洞的方法,研究人員表示,CVE-2024-29745是存在於快速開機(fastboot)韌體,鑑識公司重新啟動裝置並進入After First Unlock狀態,從而在Pixel手機截取記憶體內容。
至於另一個漏洞CVE-2024-29748,則是可被用於阻撓裝置管理員回復原廠設定,而使得執行復原動作不安全。
熱門新聞
2024-04-29
2024-04-29
2024-04-28
2024-04-29
2024-04-26
2024-04-26
2024-04-27
Advertisement