Google heeft kwetsbaarheden verholpen in Android.
Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen op het device en zo willekeurige code uit te voeren, mogelijk met rechten van het systeem en toegang krijgen tot gevoelige gegevens. Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden een malafide app te installeren en draaien of een malafide link te volgen. In deze update wordt ook de kwetsbaarheid met kenmerk CVE-2024-32896 verholpen. Deze bevindt zich in het Android Framework en stelt een lokale kwaadwillende in staat om zich verhoogde rechten toe te kennen en code uit te voeren met rechten van het systeem. Van deze kwetsbaarheid meldt Google dat deze zeer beperkt en gericht is misbruikt als ZeroDay op Google Pixel. Er is (nog) geen publieke Proof-of-Concept of exploit beschikbaar. In deze update zijn ook kwetsbaarheden verholpen in closed-source componenten van Arm, Imagination Technologies, Unisoc en Qualcomm. Google heeft verder weinig inhoudelijke informatie bekend gesteld.
ncsc
05-09-2024 14:02