A Google lançou suas atualizações de segurança mensais para o sistema operacional Android para tratar de uma falha de segurança conhecida que, segundo ela, está sendo ativamente explorada no ambiente online.
A vulnerabilidade de alta gravidade, rastreada como CVE-2024-32896 (pontuação CVSS: 7.8), está relacionada a um caso de escalada de privilégios no componente Android Framework.
De acordo com a descrição do bug no NIST National Vulnerability Database (NVD), ele envolve um erro lógico que poderia levar à escalada local de privilégios sem necessitar de quaisquer privilégios adicionais de execução.
"Há indicações de que o CVE-2024-32896 pode estar sob exploração limitada e direcionada", disse a Google em seu Boletim de Segurança Android para setembro de 2024.
É importante notar que o CVE-2024-32896 foi divulgado inicialmente em junho de 2024 como afetando apenas a linha Pixel, de propriedade da Google.
Atualmente, não há detalhes sobre como a vulnerabilidade está sendo explorada no ambiente online, embora os mantenedores do GrapheneOS tenham revelado que o CVE-2024-32896 fornece uma solução parcial para o CVE-2024-29748, outro defeito do Android que foi armado por empresas de forense digital.
A Google posteriormente confirmou que o impacto do CVE-2024-32896 vai além dos dispositivos Pixel, incluindo todo o ecossistema Android, e que está trabalhando com fabricantes de equipamentos originais (OEMs) para aplicar as correções onde aplicável.
"Esta vulnerabilidade requer acesso físico ao dispositivo para ser explorada e interrompe o processo de reset de fábrica", observou a Google na época.
Explorações adicionais seriam necessárias para comprometer o dispositivo.
Estamos priorizando as correções aplicáveis para outros parceiros OEM do Android e as implementaremos assim que estiverem disponíveis.
Como uma melhor prática de segurança, os usuários devem sempre atualizar seus dispositivos sempre que houver novas atualizações de segurança disponíveis.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...