谷歌警告三星Galaxy手机用户注意未修补的漏洞

上个月，我们告诉过您，美国政府如何命令所有使用Pixel手机的联邦雇员在7月4日之前安装最新的安全更新，否则停止使用该设备。该命令来自CISA(网络安全和基础设施安全局)管理的已知被利用漏洞(KEV)列表。显然，CVE-2024-32896“可能受到有限的、有针对性的利用”。

利用CVE-2024-32896漏洞可使攻击者获得特权升级。特权升级将允许攻击者使用应用程序访问和捕获通常无法被攻击者获取的数据。它还可能允许攻击者采取通常只有具有更高权限的用户才能执行的未经授权的操作。如您所见，这是一个严重的问题，并且作为零日漏洞，在发现该问题时尚未提供任何补丁或修复程序。

谷歌宣布CVE-2024-32896不仅影响Pixel设备，而且是三星Galaxy设备和所有其他Android手机的安全漏洞。虽然三星已经发布了Galaxy手机的7月安全更新，但该更新并未包含针对该漏洞的补丁。Pixel设备已修补此漏洞，而Galaxy和其他Android机型尚未修复该问题。

谷歌确实补充说“需要额外的漏洞才能入侵设备”，但这确实不是什么让人放心的事情，因为GrapheneOS表示“有两个漏洞正在解决。但这两个问题都还没有在Pixels之外得到修复。”

谷歌确实承认，除了Pixel设备之外，这个漏洞尚未得到修补。该公司告诉《福布斯》，“Android安全部门已经意识到了这个问题，经过进一步审查，这个问题确实影响了Android平台……安装了最新安全更新的Pixel设备受到了保护……我们正在优先为其他AndroidOEM合作伙伴提供适用的修复程序，并将在修复程序可用时立即推出。”

三星7月份的安全更新确实修复了Pixel手机上6月份已修复的三个高通关键漏洞，这再次让三星姗姗来迟。三星已经告知公众，像针对高通漏洞的组件补丁比软件和固件补丁需要更长的时间来传播，但Pixel用户的手机再次先得到保护。

三星7月安全更新中的一项更新确实修复了当前漏洞CVE-2024-31320，谷歌警告称“该漏洞可能导致本地权限提升，而无需额外的执行权限。”希望下个月的三星8月安全更新能够最终修补CVE-2024-32896漏洞。