Google alerta sobre uma falha zero-day no firmware do Pixel

Google alerta sobre uma falha zero-day no firmware do Pixel, que foi classificada como um problema de segurança de alta gravidade.

O Google lançou patches para 50 vulnerabilidades de segurança que afetam seus dispositivos Pixel e alertou que uma delas já havia sido explorada em ataques direcionados como zero-day.

Google alerta sobre uma falha zero-day no firmware do Pixel

Google alerta sobre uma falha zero-day no firmware do Pixel
Google alerta sobre uma falha zero-day no firmware do Pixel

Rastreada como CVE-2024-32896, essa falha de elevação de privilégio (EoP) no firmware do Pixel foi classificada como um problema de segurança de alta gravidade.

“Há indícios de que CVE-2024-32896 pode estar sob exploração limitada e direcionada”, alertou na última terça-feira a empresa.

“Todos os dispositivos Google suportados receberão uma atualização para o nível de patch 05/06/2024. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.”

O Google marcou 44 outros bugs de segurança no boletim de atualização do Pixel deste mês, sete dos quais são vulnerabilidades de escalonamento de privilégios consideradas críticas e impactam vários subcomponentes.

Embora os dispositivos Pixel também executem Android, eles recebem atualizações separadas de segurança e correção de bugs dos patches mensais padrão distribuídos a todos os OEMs do Android devido aos seus recursos e capacidades exclusivos e à plataforma de hardware exclusiva controlada diretamente pelo Google.

Você pode encontrar mais detalhes sobre as atualizações de junho de 2024 para o Pixel no boletim de segurança dedicado à linha de smartphones do próprio Google.

Para aplicar a atualização de segurança, os usuários do Pixel devem ir para Configurações > Segurança e privacidade > Sistema e atualizações > Atualização de segurança, tocar em Instalar e reiniciar o dispositivo para concluir o processo de atualização.

No início deste mês, Arm alertou sobre uma vulnerabilidade relacionada à memória (CVE-2024-4610) nos drivers de kernel da GPU Bifrost e Valhall explorados em estado selvagem.

Essa vulnerabilidade use-after-free (UAF) afeta todas as versões dos drivers Bifrost e Valhall de r34p0 a r40p0 e pode ser explorada em ataques que levam à divulgação de informações e à execução arbitrária de códigos.

Em abril, o Google corrigiu dois outros zero-day do Pixel explorados por empresas forenses para desbloquear telefones sem PIN e acessar os dados.

A CVE-2024-29745 foi marcado como um bug de divulgação de informações de alta gravidade no bootloader Pixel, enquanto CVE-2024-29748 é um bug de escalonamento de privilégios de alta gravidade no firmware Pixel.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.