Google 在安全性更新的公告欄中並沒有詳細說明 CVE-2024-32896 安全性風險,僅表示有可能遭到利用,但主打安全性的手機系統 GrapheneOS 表示,CVE-2024-32896 的漏洞被利用已經是現在進行式,美國聯邦政府也建議企業和個人用戶安裝更新。
CVE-2024-32896 which is marked as being actively exploited in the wild in the June 2024 Pixel Update Bulletin is the 2nd part of the fix for CVE-2024-29748 vulnerability we described here:https://t.co/c4xnnbje04
As we explained there, none of this is actually Pixel specific.
高風險遭政府警告
Google 在六月為 Pixel 手機推出的更新,除了帶來新功能的 Feature Drop,同時也帶來了六月最新版的安全性更新,其中 CVE-2024-32896 的零時差漏洞安全風險高,引得美國聯邦政府公告職員的 Pixel 手機,必須在 7 月 4 日安裝六月最新的安全性更新,以防止漏洞遭有心人士利用,否則將被禁止使用 Pixel 手機。Google 在安全性更新的公告欄中並沒有詳細說明 CVE-2024-32896 安全性風險,僅表示有可能遭到利用,但主打安全性的手機系統 GrapheneOS 表示,CVE-2024-32896 的漏洞被利用已經是現在進行式,美國聯邦政府也建議企業和個人用戶安裝更新。
不只 Pixel 手機受影響
雖然美國聯邦政府特別點名了 Pixel 手機,但根據 GrapheneOS 的說明,CVE-2024-32896 安全性漏洞出現在 fastboot 韌體中,所有 Android 手機都可能暴露在安全風險中,但只有 Google Pixel 手機獲得了更新,其他手機將會在升級 Android 15 時一併修復,這個時候更長的系統升級保證重要性就更高了。引用來源:Android Police、Forbes