谷歌:Pixel 固件0day漏洞已遭活跃利用

最新推荐文章于 2024-10-06 08:20:35 发布
最新推荐文章于 2024-10-06 08:20:35 发布
阅读量111 收藏
点赞数
文章标签: 安全 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519734&idx=1&sn=fcc36eded6f81b0c6a5496090527e207&chksm=eba2879cc2a8d46772d27526ffec9b8093e8af3e58e2b5699b503442cca537911a791def0bd4&scene=126&sessionid=0
版权

a586d0b622b47fbe450ca1ca13cefe33.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌修复了 Pixel 设备中的50个漏洞并提醒称,其中一个漏洞在0day 状态时已遭利用,编号是CVE-2024-32896。

该漏洞是位于 Pixel 固件中的提权漏洞,属于高危级别。谷歌在本周二提到,“有迹象表明CVE-2024-32896可能已遭有限的针对性利用。所有受支持的谷歌设备将在2024年6月5日补丁级别收到更新。我们建议所有客户在设备中接受这些更新。”

谷歌还在本月的 Pixel 更新公告中标记了其它44个漏洞,其中7个是高危的提权漏洞,影响多种子组件。虽然 Pixel 设备也运行安卓系统,但由于它们具有独特特性和能力且唯一的硬件平台直接由谷歌控制,因此从向所有安卓OEM分发的标准每月补丁收到了安全和漏洞修复更新。更多信息可从2024年6月的 Pixel 安全通告获取。Pixel 用户应通过设置>安全和隐私>系统和更新>安全更新,点击“安装”并重启设备来完成更新流程。

本月早些时候,Arm 提醒称 Bifrost 和 Valhall GPU 内核驱动中的内存相关漏洞 (CVE-2024-4610) 已遭在野利用。这类释放后使用漏洞影响 r34p0至r40p0的Bifrost和Valhall 驱动的所有版本,可导致信息泄露和任意代码执行后果。

4月份,谷歌修复了另外两个由取证公司利用的 Pixel 0day漏洞,他们的目的是解锁手机且无需PIN和访问数据。CVE-2024-29745被标记为高危的位于 Pixel 引导程序的信息泄露漏洞,而CVE-2024-29748是位于 Pixel 固件中的高危提权漏洞。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌修复遭取证公司利用的两个 Pixel 0day漏洞

谷歌Pixel手机漏洞可导致打码信息被复原

偶然发现谷歌Pixel手机锁屏漏洞,获奖7万美元

谷歌宣布 Pixel Titan M 芯片漏洞奖励计划,最高150万美元

原文链接

https://www.bleepingcomputer.com/news/security/google-warns-of-actively-exploited-pixel-firmware-zero-day/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

9445605ed691cde5558fb6ef347a0d06.jpeg

d0b3ca3df46418190cffeb3c561564ac.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   653ce4c818bf361853cc1f48db0c9102.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
谷歌修复取证公司利用的两个 Pixel 0day漏洞
smellycat000的专栏
04-07 153
聚焦源代码安全,网罗国内外最新资讯!作者:Pierluigi Paganini编译:代码卫士谷歌修复了取证公司利用的两个 0day 漏洞。它们在没有PIN的情况下解锁手机并获得手机数据的访问权限。尽管Pixel 手机运行安卓系统,不过会从对所有安卓设备OEM发送的月度补丁中获得安全更新。这是因为谷歌直接控制它们的唯一硬件平台、唯一特性和能力。虽然安卓4月安全公告中并不包含任何严重问题,但 Pi...
超过2.2万个已删PyPI包竟存在被“复兴劫持”风险,供应链攻击新手段曝光!微软macOS应用惊爆八大漏洞,黑客可轻松获取无限制访问权限!| 安全周报0906
weixin_55163056的博客
09-06 1604
Apache OFBiz爆新漏洞,远程代码执行威胁Linux与Windows安全;中国贸易公司新型跨平台恶意软件KTLVdoor猛烈攻击;Android用户务必立即安装最新安全补丁,堵截正在被黑客利用漏洞;超过2.2万个已删PyPI包竟存在被“复兴劫持”风险
谷歌修复已利用的安卓内核0day漏洞
smellycat000的专栏
08-06 111
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本月安卓共修复46个漏洞,包括被用于目标攻击中的一个高危远程代码执行 (RCE) 漏洞。在这些漏洞中,其中一个是 0day 漏洞CVE-2024-36971,它是位于 Linux 内核网络路由管理中的一个释放后使用漏洞。攻击者需要系统执行权限才能实施成功利用,可导致某些网络连接的行为被修改。谷歌表示,“有证据表明,CVE-2024-36971可能...
谷歌修复今年第10个已利用0day
smellycat000的专栏
08-27 252
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌称已修复2024年以来第10个黑客利用或由安全研究员在黑客大赛中利用0day,编号为CVE-2024-7965。该漏洞由研究员TheDog报送,是一个位于Chrome V8 JavaScript引擎中的实现不当漏洞,可导致远程攻击者通过构造的HTML页面利用堆损坏。上周,谷歌披露称修复了由V8类型混淆弱点引发的另外一个高危0day (CV...
谷歌紧急修复今年第9个已利用0day
smellycat000的专栏
08-22 346
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌发布Chrome 紧急更新,修复了一个已利用0day漏洞 (CVE-2024-7971)。该漏洞是一个高危0day漏洞,由 Chrome V8 JavaScript 引擎中的一个类型混淆弱点引发。微软威胁情报中心和微软安全响应中心的研究员在本周一报送了该漏洞。尽管这类漏洞通常可导致攻击者在被分配到内存中的数据解释为不同类型漏洞后触发浏览器...
苹果发布云AI系统;谷歌警告0day漏洞利用;微软紧急推迟 AI 召回功能;劫持活动瞄准 K8s 集群 | 网安周报0614
weixin_55163056的博客
06-15 1777
与 2023 年部署名为“代理-API”的 Kubernetes DaemonSet 的版本不同,最新版本利用看似良性的 DaemonSet,称为“k8s-设备-插件”和“pytorch-容器”,以最终在集群的所有节点上运行矿工。所有的苹果智能功能,无论是在设备上运行的还是依赖于 PCC 的,都利用内部生成模型,这些模型是在“许可数据”上训练的,包括为增强特定功能而选择的数据,以及由我们的网络爬虫 AppleBot 收集的公开可用数据。
近3年微软与谷歌的发展对比分析
weixin_30363981的博客
01-16 3877
近3年微软与谷歌的发展对比分析 随着科技的快速发展,时代的不断进步,微软和谷歌凭借这不断的创新已然成为当今全球科技公司的领头羊。位列世界500强的微软是一个相当具有经济与科技实力的的公司,然而同样位列世界500强的谷歌凭借着家喻户晓的Google搜索成为了微软一个相当具有竞争力的科技大亨。 同为IT公司,微软和谷歌的比较如下: 一、发展历史 ...
kernel_google_crosshatch:Pixel 3,Pixel 3 XL,Pixel 3a和Pixel 3a XL内核源
02-17
kernel_google_crosshatch:Pixel 3,Pixel 3 XL,Pixel 3a和Pixel 3a XL内核源
Pixel3ROM:售后开源Android固件-开源
05-07
这个固件旨在为用户带来原生Google Pixel手机的系统体验,同时结合了一些自定义的UI改进和功能增强。开源软件的特性使得它对开发者和爱好者极具吸引力,因为他们可以自由地查看、修改并分享代码,以满足个人或社区的...
android_kernel_google_wahoo:Pixel 2(XL)的4.4.y内核
03-08
android_kernel_google_wahoo:Pixel 2(XL)的4.4.y内核
高德地图Uncaught Invalid Object: Pixel(NaN, NaN)
weixin_42786237的博客
07-21 8570
高德地图Uncaught Invalid Object: Pixel(NaN, NaN) var infowinList:[{ name:'台子乡', longitude:101.972699, latitude:36.859000 }, { name:'崖头村', longitude:101.862699, lati
网 络 安 全
最新发布
数字人生
10-06 1596
定义:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护的状态。范畴硬件安全:包括网络设备、服务器、终端等物理设备的安全。软件安全:包括操作系统、应用软件、数据库等的安全。数据安全:包括数据的保密性、完整性、可用性等。
数据库常见的安全特性有哪些
lunan的博客
10-05 697
不同的数据库管理系统(如MySQL、PostgreSQL、Oracle等)在实现这些安全特性时可能会有所差异,但大多数都具备以上关键安全功能。数据库系统会通过身份验证来确定用户的身份,常见的方式有用户名/密码验证、基于证书的验证、多因素验证(MFA)等。数据库通过约束(如外键约束、唯一性约束、非空约束等)确保数据的一致性和完整性,防止未经授权的修改。数据库会对用户的权限进行管理,确保只有被授权的用户可以执行特定的操作。数据库管理员应确保每个用户只拥有执行其工作所需的最少权限,以减少潜在的风险。
如何提升企业安全生产标准化?蓝燕云安全生产标准化管理平台介绍
2409_87787504的博客
10-06 558
我国安全生产标准化体系由国家一系列详尽而全面的规定构成,旨在全方位提升企业的安全生产管理水平,确保生产活动在安全的环境下进行。核心在于《企业安全生产标准化基本规范》(GB/T 33000-2016),该规范明确了企业建立、保持与评定安全生产标准化管理体系的原则、一般要求以及八个核心技术要求体系,包括目标职责、制度化管理、教育培训、现场管理、安全风险管控及隐患排查治理、应急管理、事故管理和持续改进。这一标准广泛适用于工矿商贸企业,并鼓励其他行业参照执行。
余承东直播论道智能驾驶:激光雷达不可或缺,华为ADS 3.0引领安全创新
linjingtu的博客
10-05 446
余承东与马东的这场直播交流,不仅为公众提供了深入了解智能驾驶技术的机会,也展现了华为在智能驾驶领域的坚定信心和前瞻布局。激光雷达的广泛应用、多传感器融合的技术路线、以及鸿蒙智行ADS 3.0的创新特性,共同构成了华为智能驾驶技术的核心竞争力。随着技术的不断进步和市场环境的不断变化,华为有望在智能驾驶领域取得更加显著的成果,为用户带来更加安全、便捷、智能的出行体验。
安全服务面试
m0_74402888的博客
10-02 560
java.lang.Runtime.getRuntime().exec("net user 用户名 密码 /add");删除 conf/Catalina/localhost/下的 host-manager.xml 和 manager.xml 这两。//关闭程序,即将 web 程序关闭。这是通过 ParametersInterceptor(参数过滤器)来执行的,使用用户提供的 HTTP。Ognl 表达式语言,Struts 标签默认支持的表达式语言,必须配置 Struts 标签用,
【JWT安全】portswigger JWT labs 全解
uuzeray的博客
10-02 1359
根据设计,服务器通常不会存储有关其发出的 JWT 的任何信息。相反,每个令牌都是一个完全独立的实体。这有几个优点,但也带来了一个根本问题 - 服务器实际上不知道令牌的原始内容,甚至不知道原始签名是什么。因此,如果服务器没有正确验证签名,就无法阻止攻击者对令牌的其余部分进行任意更改。如果服务器根据此 来识别会话username,则修改其值可能会使攻击者能够冒充其他登录用户。同样,如果该isAdmin值用于访问控制,则可能为特权升级提供一个简单的payload。
在Qt中出现这个QFont::setPixelSize: Pixel size <= 0 (0),是什么问题
07-13
这个问题通常是由于尝试设置字体的像素大小为零或负数导致的。QFont::setPixelSize() 函数要求传入的像素大小参数必须大于零。 要解决这个问题,您可以在设置字体的像素大小之前,确保传入的值大于零。您可以检查您设置像素大小的代码行,以确保传递给 setPixelSize() 函数的参数是一个有效的正整数值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值