Η κυβέρνηση των ΗΠΑ εξέδωσε μια τρομερή προειδοποίηση προς τους υπαλλήλους με τηλέφωνα
Pixel
, επιβάλλοντας μια ενημέρωση ασφαλείας έως τις 4 Ιουλίου,
όπως αναφέρθηκε αρχικά από
Forbes
. Αυτό οφείλεται σε μια ευπάθεια υλικολογισμικού υψηλής σοβαρότητας στο
λειτουργικό σύστημα
Android
που θα μπορούσε να ανοίξει τις συσκευές σε «περιορισμένη, στοχευμένη εκμετάλλευση».
Υπάρχει
ήδη ένα έμπλαστρο
για το zero-day exploit, αλλά απαιτεί μια επίσκεψη στην εφαρμογή ρυθμίσεων για να βεβαιωθείτε ότι η συσκευή είναι ενημερωμένη. Οι κρατικοί υπάλληλοι που δεν θα εγκαταστήσουν την ενημέρωση ασφαλείας έως τις 4 Ιουλίου πρέπει να «διακόψουν τη χρήση του προϊόντος». Είναι αυτονόητο ότι και οι υπόλοιποι από εμάς θα πρέπει να λάβουμε υπόψη αυτές τις προειδοποιήσεις, ιδιαίτερα όσοι συνδέονται με διακομιστές επιχειρήσεων.
Η Google παραμένει μαμά ως προς τις πραγματικές λεπτομέρειες της ευπάθειας, αλλά η κρατική ανάμειξη το κάνει να φαίνεται λίγο πιο σοβαρό από τη μέση εκμετάλλευσή σας. Η ομοσπονδιακή εντολή απευθύνεται αποκλειστικά σε συσκευές Pixel, αλλά φαίνεται ότι η εκμετάλλευση θα μπορούσε να επεκταθεί και σε άλλα τηλέφωνα Android.
Οι άνθρωποι πίσω από το GrapheneOS, ένα λειτουργικό σύστημα που βασίζεται στο Android, σημειώνουν ότι η ευπάθεια δεν αφορά αποκλειστικά τα τηλέφωνα Pixel. Ο οργανισμός λέει ότι μια επιδιόρθωση θα είναι μέρος οποιασδήποτε ενημέρωσης στο Android 15, η οποία κυκλοφορεί τον Αύγουστο, αλλά ότι δεν έχει υποστηριχθεί. Επομένως, εάν επιλέξετε να μην ενημερώσετε το λειτουργικό σύστημα, πιθανότατα δεν θα λάβετε την ενημερωμένη έκδοση κώδικα. Παραμένει ασαφές εάν υπάρχουν άλλες επιλογές για μετριασμό. Επικοινωνήσαμε με την Google και θα ενημερώσουμε αυτήν την ανάρτηση όταν μάθουμε περισσότερα.
Το
CVE
-2024-32896, το οποίο έχει επισημανθεί ότι γίνεται ενεργή εκμετάλλευση στη φύση στο ενημερωτικό δελτίο ενημέρωσης Pixel του Ιουνίου 2024, είναι το 2ο μέρος της επιδιόρθωσης για την ευπάθεια CVE-2024-29748 που περιγράψαμε εδώ:
https://t.co/c4xnnbje04
Όπως εξηγήσαμε εκεί, τίποτα από όλα αυτά δεν αφορά στην πραγματικότητα το Pixel.
— GrapheneOS (@GrapheneOS)
13 Ιουνίου 2024
Η προειδοποίηση που εξέδωσε η κυβέρνηση των ΗΠΑ, όπως περιγράφεται στο
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών (KEV).
, είναι και τσιγκούνης με τις λεπτομέρειες. Η συμβουλευτική απλώς αναφέρει ότι «Το Android Pixel περιέχει μια απροσδιόριστη ευπάθεια στο υλικολογισμικό που επιτρέπει την κλιμάκωση των προνομίων». Το GrapheneOS λέει ότι το exploit αποτυγχάνει να σκουπίσει τη μνήμη όταν εκτελείται μια λειτουργία γρήγορης εκκίνησης που βασίζεται σε υλικολογισμικό, η οποία δυνητικά επιτρέπει σε κακόβουλους παράγοντες να εκμεταλλευτούν το σύστημα «για να αποκτήσουν προηγούμενη μνήμη λειτουργικού συστήματος».
Για
να ανακεφαλαιώσουμε, ενημερώστε το τηλέφωνο Pixel αμέσως μέσω της εφαρμογής ρυθμίσεων, ενώ αυτά με άλλα τηλέφωνα Android θα πρέπει να είναι καλά προς το παρόν. Δεν είναι ποτέ συνετό να μπλέκουμε με αυτά τα κατορθώματα μηδενικής ημέρας και η ανάμειξη της κυβέρνησης των ΗΠΑ έχει σίγουρα αυξήσει λίγο το επίπεδο απειλής εδώ.
VIA:
engadget.com
0