Google, Android işletim sistemi için, yaygın olarak kullanılan bir güvenlik açığını gidermek amacıyla aylık güvenlik güncellemelerini yayınladı.
CVE-2024-32896 (CVSS puanı: 7,8) olarak izlenen yüksek öneme sahip güvenlik açığı, Android Framework bileşenindeki bir ayrıcalık yükseltme vakasıyla ilgilidir.
NIST Ulusal Güvenlik Açığı Veritabanı’ndaki (NVD) hatanın açıklamasına göre, herhangi bir ek yürütme ayrıcalığı gerektirmeden yerel ayrıcalıkların artırılmasına yol açabilecek bir mantık hatasıyla ilgili.
Google, Eylül 2024 tarihli Android Güvenlik Bülteni’nde “CVE-2024-32896’nın sınırlı ve hedefli bir şekilde istismar edildiğine dair belirtiler var” dedi.
CVE-2024-32896’nın ilk olarak Haziran 2024’te yalnızca Google’ın sahibi olduğu Pixel serisini etkilediği açıklanmıştı.
Bu güvenlik açığının gerçek hayatta nasıl kullanıldığına dair henüz bir ayrıntı yok, ancak GrapheneOS geliştiricileri, CVE-2024-32896’nın, adli bilişim şirketleri tarafından silah olarak kullanılan bir diğer Android açığı olan CVE-2024-29748 için kısmi bir çözüm sunduğunu ortaya koydu.
Google daha sonra The Hacker News’e verdiği demeçte, CVE-2024-32896’nın etkisinin Pixel cihazlarıyla sınırlı kalmayıp tüm Android ekosistemini kapsadığını ve düzeltmeleri mümkün olan yerlerde uygulamak için orijinal ekipman üreticileriyle (OEM’ler) birlikte çalıştığını doğruladı.
Google o zamanlar “Bu güvenlik açığı, istismar için cihaza fiziksel erişim gerektiriyor ve fabrika ayarlarına sıfırlama sürecini kesintiye uğratıyor,” diye belirtmişti. “Cihazı tehlikeye atmak için ek istismarlara ihtiyaç duyulacaktır.”
“Diğer Android OEM ortakları için uygulanabilir düzeltmelere öncelik veriyoruz ve bunlar kullanılabilir olur olmaz kullanıma sunacağız. En iyi güvenlik uygulaması olarak, kullanıcılar yeni güvenlik güncellemeleri mevcut olduğunda cihazlarını her zaman güncellemelidir.”