13 Haziran 13:01 EDT güncellemesi: GrapheneOS, CVE-2024-32896’nın CVE-2024-29748 ile aynı olduğunu söylüyor. BleepingComputer’ın Nisan ayında bildirdiği gibi Google, çeşitli adli tıp şirketlerinin kullandığı bir güvenlik açığı olan CVE-2024-29748’e yönelik Pixel düzeltmesini izlemek için yeni bir CVE kimliği ekledi.
“Adli tıp şirketleri tarafından, bir saldırı tespit edildiğinde cihazı silmeye çalışan Wasted ve Sentry gibi uygulamalara sahip kullanıcılara karşı istismar edildi. Bu durumu, zorlama PIN/şifre özelliğimizi oluşturmanın bir parçası olarak ele aldık ve Google’ın bunu Android’de düzeltmesini sağlamak üzere bildirdik. artık bitti” dedi GrapheneOS.
“Haziran güncellemesiyle (Android 14 QPR3) Pixel’lerde düzeltildi ve diğer Android cihazlarda da Android 15’e güncellendiklerinde düzeltilecek. Android 15’e güncelleme yapmazlarsa muhtemelen düzeltmeyi alamayacaklar çünkü desteklenmedi. Tüm yamalar desteklenmiyor.”
Başlık, bunların Pixel’e özgü güncellemeler olduğunu gösterecek şekilde revize edildi. Orijinal hikaye aşağıda.
Google, Pixel cihazlarını etkileyen 50 güvenlik açığı için yamalar yayınladı ve bunlardan birinin zaten hedefli saldırılarda sıfır gün olarak kullanıldığı konusunda uyardı.
CVE-2024-32896 olarak takip edilen Pixel ürün yazılımındaki bu ayrıcalık yükseltme (EoP) kusuru, yüksek önemde bir güvenlik sorunu olarak derecelendirildi.
Şirket Salı günü, “CVE-2024-32896’nın sınırlı ve hedefli bir şekilde istismar edildiğine dair belirtiler var” diye uyardı.
“Desteklenen tüm Google cihazları, 2024-06-05 yama düzeyine yönelik bir güncelleme alacaktır. Tüm müşterilerin, cihazlarında bu güncellemeleri kabul etmesini öneririz.”
Google, bu ayki Pixel güncelleme bülteninde 44 güvenlik hatasını daha etiketledi; bunlardan yedisi, kritik kabul edilen ve çeşitli alt bileşenleri etkileyen ayrıcalık yükseltme güvenlik açıklarıydı.
Pixel cihazları aynı zamanda Android çalıştırırken, özel özellikleri ve yetenekleri ve doğrudan Google tarafından kontrol edilen benzersiz donanım platformu nedeniyle tüm Android OEM’lerine dağıtılan standart aylık yamalardan ayrı güvenlik ve hata düzeltme güncellemeleri alırlar.
Google’ın kendi akıllı telefon serisine özel güvenlik bülteninde Pixel’in Haziran 2024 güncellemeleri hakkında daha fazla ayrıntı bulabilirsiniz.
Güvenlik güncellemesini uygulamak için Pixel kullanıcılarının Ayarlar > Güvenlik ve gizlilik > Sistem ve güncellemeler > Güvenlik güncellemesi bölümüne gitmesi, Yükle’ye dokunması ve güncelleme işlemini tamamlamak için cihazı yeniden başlatması gerekir.
Bu ayın başlarında Arm, Bifrost ve Valhall GPU çekirdek sürücülerinde bellekle ilgili bir güvenlik açığının (CVE-2024-4610) vahşi ortamda istismar edildiği konusunda uyardı.
Bu serbest kullanımdan sonra güvenlik açığı (UAF), Bifrost ve Valhall sürücülerinin r34p0’dan r40p0’a kadar tüm sürümlerini etkiler ve bilgilerin açığa çıkmasına ve rastgele kod yürütülmesine yol açan saldırılarda kullanılabilir.
Nisan ayında Google, adli tıp firmaları tarafından PIN olmadan telefonların kilidini açmak ve verilere erişmek için kullanılan iki Pixel sıfır gününü daha düzeltti. CVE-2024-29745, Pixel önyükleyicisinde yüksek önem derecesine sahip bir bilgi ifşa hatası olarak etiketlenirken CVE-2024-29748, Pixel donanım yazılımında yüksek önem derecesine sahip bir ayrıcalık yükseltme hatasıdır.