月曜日に、 GoogleはAndroidのアップデートをリリースしました これにより、会社が述べたように、「限られたターゲットを絞った搾取の下にある可能性がある」2つのゼロデイの欠陥が修正されます。つまり、Googleは、ハッカーがバグを使用して、実際のシナリオでAndroidデバイスを侵害していることを認識していることを意味します。
ASを追跡した2つの現在固定されているゼロデイの1つ CVE-2024-53197Amnesty Internationalによって、政府が支援するサイバー攻撃を追跡するTech GiantのセキュリティチームであるGoogleの脅威分析グループのBenoîtSevensと協力して特定されました。
2月、アムネスティは、携帯電話のロックを解除して分析するために法執行機関にデバイスを販売する会社であるセルブライトが、3つのチェーンを利用していることがわかったと述べました。 ゼロデイの脆弱性 Android電話にハッキングします。
Androidゼロデイに関する詳細情報はありますか?非加工デバイスから、+1 917 257 1382の信号でLorenzo Franceschi-Bicchieraiに安全に連絡するか、Telegramとkeybase @lorenzofbを介して連絡できます。 メール。 また、TechCrunchを介して連絡することもできます securedrop。
この場合、アムネスティは月曜日にパッチされたものを含む脆弱性を発見しました。 セルビアの学生活動家に対して使用されています セレブライトで武装した地方自治体によって。
ただし、2番目の脆弱性であるCVE-2024-53150に関する情報は多くありません。その発見はGoogleのセブンにもクレジットされ、欠陥があるという事実を除いて、月曜日にパッチが適用されました。 カーネルで見つかりましたオペレーティングシステムのコア。
Googleはすぐにコメントのリクエストに応答しませんでした。
アムネスティのスポークスマン、ハジラ・マリアムは、非営利団体にはこの時点で共有するものは何もないと述べた。
Tech Giantは、「これらの問題の中で最も深刻なものは、追加の実行特権を必要とせずに特権のリモートエスカレーションにつながる可能性のあるシステムコンポーネントの重大なセキュリティの脆弱性である」とアドバイザリーで、「搾取にはユーザーの相互作用は必要ありません」と述べました。
Googleは、アドバイザリーから48時間以内に2つの固定ゼロデイのソースコードパッチをプッシュすると同時に、Androidパートナーは「公開前に少なくとも1か月前にすべての問題を通知されている」と述べました。
Androidのオープンソースの性質を考えると、すべての電話メーカーが自分のユーザーにパッチを押し出す必要があります。
このストーリーは、アムネスティの反応を含むように更新されました。
Be the first to comment
