A Google Pixel okoseszközei már jó ideje velünk vannak, főleg okostelefonok formájában, de van laptop és táblagép is a márkanév alatt. Operációs rendszerként vagy ChromeOS-t vagy Androidot használnak, tehát minden ehhez kapcsolódó pozitívum és negatívum is megtalálható bennük. Nemrégiben a Google 50, a Pixel készülékeket érintő biztonsági réshez adott ki javításokat, és figyelmeztetett, hogy az egyiket már a felfedezés napján ki is használták rosszindulatú támadók.
A CVE-2024-32896 néven nyomonkövethető, a Pixel firmware-ben található jogosultságot növelő (EoP) hiba magas biztonsági fokozatúnak minősül. Még június 11-én írt róla a cég, hogy a CVE-2024-32896 célzott támadásokban már kihasználásra is kerülhetett. Azt is közölték, hogy minden támogatott Google-eszköz megkapja a 2024. június ötödikei javítási szintre vonatkozó frissítést. Minden ügyfelet arra kértek, hogy fogadja el ezeket a frissítéseket a készülékére.
A Google készülékeiben mostanában volt néhány kritikus hiba
A Google 44 további biztonsági hibát jelölt meg az e havi Pixel-frissítési közleményben. Ezek közül hét kritikusnak minősített jogosultságnövelésre lehetőséget adó sebezhetőség, és különböző alkomponenseket érint. Bár a Pixel készülékek is Androidot futtatnak, funkcióik és képességeik, valamint a közvetlenül a Google által ellenőrzött egyedi hardverplatform miatt külön biztonsági és hibajavító frissítéseket kapnak. Eltérően az összes többi Androidos eszköznek kiadott szokásos havi javításoktól. A biztonsági frissítés telepítéséhez a Pixel-felhasználóknak a Beállítások > Biztonság és adatvédelem > Rendszer és frissítések > Biztonsági frissítés menüpontba kell belépniük. Majd a telepítés befejezéséhez a Telepítésre kell koppintaniuk, és újra kell indítaniuk a készüléket.
Egyébként nemrégiben még a Nemzeti Kibervédelmi Intézet is lehozta az Arm azon közleményét, amely a Bifrost és Valhall GPU kernel driverek memóriakezelési sebezhetőségéről szól. Ez a sebezhetőség egy úgynevezett use-after-free (UAF) hiba. Amikor a memóriaterületre mutató pointer azután is használatban van, hogy egyébként a terület felszabadult. Ez pedig mindenféle kódok futtatását lehetővé teszi. Ez a UAF a Bifrost és a Valhall illesztőprogramok minden verzióját érinti az r34p0-tól az r40p0-ig. Áprilisban a Google két másik Pixelhez kapcsolódó nulladik napos hibát is javított, amelyek segítségével lehetőség volt a telefonok PIN-kód nélküli feloldására és az adatokhoz való hozzáférésre. A CVE-2024-29745 egy kritikus információszivárgási hibát jelölt meg a Pixel bootloaderében, míg a CVE-2024-29748 egy kritikus jogosultságnövelési hibát a Pixel firmware-ében.
Érdekelhet még: Egy adatvédelmi incidens során 49 millió Dell-ügyfél adatait lopták el
Hungarian 