Google Lança Patch de Segurança do Android Para Falha de Alta Severidade

Google identificou e corrigiu uma vulnerabilidade crítica de zero-day em seu sistema operacional Android que está sendo explorada ativamente no mundo.

A vulnerabilidade de alta severidade rastreada como CVE-2024-32896 (pontuação CVSS: 7.8) é classificada como uma falha de elevação de privilégio (EoP) de alta severidade no firmware do Pixel.

Uma vulnerabilidade de elevação de privilégio ocorre quando um usuário ou aplicativo com privilégios mais baixos ganha acesso a funções ou conteúdos geralmente reservados para usuários ou aplicativos com privilégios mais altos. Se explorada, um atacante pode realizar ações como roubar dados ou instalar malware.

CVE-2024-32896 está relacionada a um erro de lógica no componente do framework Android, que pode levar a uma elevação local de privilégio sem a necessidade de privilégios de execução adicionais, lê-se na descrição do bug no Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST.

No entanto, a interação do usuário é necessária para explorar essa vulnerabilidade.

Essa vulnerabilidade foi relatada pela primeira vez na atualização de segurança do Pixel de junho, quando um patch foi lançado apenas para a linha de dispositivos Pixel, de propriedade do Google. No entanto, o impacto da falha CVE-2024-32896 não se limita aos dispositivos Pixel e inclui todo o ecossistema Android.

“Há indicações de que a CVE-2024-32896 pode estar sob exploração limitada e direcionada”, escreveu o Google em seu Boletim de Segurança do Android de setembro de 2024.

Como de costume, o Google não forneceu informações técnicas sobre como a vulnerabilidade está sendo explorada no mundo.

Para se proteger contra possíveis explorações, é altamente recomendável que todos os usuários do Android instalem atualizações de segurança imediatamente em seus dispositivos.

Para instalar as últimas atualizações de segurança, vá para Configurações > Sistema > Atualizações de software > Atualização do sistema.

Alternativamente, você pode ir para Configurações > Segurança e privacidade > Sistema e atualizações > Atualização de segurança e clicar no botão ‘Verificar se há atualizações’.

Além da vulnerabilidade CVE-2024-32896, o Google também corrigiu outras nove falhas de alta severidade que afetam o framework e o sistema Android na atualização de segurança de setembro de 2024.