Google alerta sobre uma falha zero-day no firmware do Pixel, que foi classificada como um problema de segurança de alta gravidade.
O Google lançou patches para 50 vulnerabilidades de segurança que afetam seus dispositivos Pixel e alertou que uma delas já havia sido explorada em ataques direcionados como zero-day.
Google alerta sobre uma falha zero-day no firmware do Pixel
Rastreada como CVE-2024-32896, essa falha de elevação de privilégio (EoP) no firmware do Pixel foi classificada como um problema de segurança de alta gravidade.
“Há indícios de que CVE-2024-32896 pode estar sob exploração limitada e direcionada”, alertou na última terça-feira a empresa.
“Todos os dispositivos Google suportados receberão uma atualização para o nível de patch 05/06/2024. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.”
O Google marcou 44 outros bugs de segurança no boletim de atualização do Pixel deste mês, sete dos quais são vulnerabilidades de escalonamento de privilégios consideradas críticas e impactam vários subcomponentes.
Embora os dispositivos Pixel também executem Android, eles recebem atualizações separadas de segurança e correção de bugs dos patches mensais padrão distribuídos a todos os OEMs do Android devido aos seus recursos e capacidades exclusivos e à plataforma de hardware exclusiva controlada diretamente pelo Google.
Você pode encontrar mais detalhes sobre as atualizações de junho de 2024 para o Pixel no boletim de segurança dedicado à linha de smartphones do próprio Google.
Para aplicar a atualização de segurança, os usuários do Pixel devem ir para Configurações > Segurança e privacidade > Sistema e atualizações > Atualização de segurança, tocar em Instalar e reiniciar o dispositivo para concluir o processo de atualização.
No início deste mês, Arm alertou sobre uma vulnerabilidade relacionada à memória (CVE-2024-4610) nos drivers de kernel da GPU Bifrost e Valhall explorados em estado selvagem.
Essa vulnerabilidade use-after-free (UAF) afeta todas as versões dos drivers Bifrost e Valhall de r34p0 a r40p0 e pode ser explorada em ataques que levam à divulgação de informações e à execução arbitrária de códigos.
Em abril, o Google corrigiu dois outros zero-day do Pixel explorados por empresas forenses para desbloquear telefones sem PIN e acessar os dados.
A CVE-2024-29745 foi marcado como um bug de divulgação de informações de alta gravidade no bootloader Pixel, enquanto CVE-2024-29748 é um bug de escalonamento de privilégios de alta gravidade no firmware Pixel.