Bu ayki Google Pixel güncellemesiyle birlikte, üç ayda bir kullanıma sunulan CVE-2024-32896 özelliği de dahil olmak üzere Android için pek çok göze çarpan özellik ve güncelleme çıktı. Donanım yazılımında yüksek önemde bir güvenlik açığı sorunu vardı ve Google, kullanıcılara bu zayıflığın kötü aktörler tarafından istismar edilebileceğini onayladı. Kullanıcılar, saldırı altındaki güvenlik açıklarından birinin başka bir darbesiyle karşı karşıya kaldıklarında, telefonlarına yönelik potansiyel tehdidin üstesinden gelmeye devam ediyorlardı. iken Piksel Güncelleme Bülteni Sıfır gün istismarını Yüksek Önemde olarak listeleyen ABD hükümeti, müdahale etmeye ve bu konuyu kendi eline almaya karar verdi.
ABD hükümeti kullanıcılara iki seçenek sundu: ya telefonlarını 10 gün içinde güncellemek ya da cihazı kullanmayı bırakmak
Her ne kadar Google güvenlik açığından habersiz olsa ve ilk öğrendiğinde sorunu bir güvenlik yaması ile çözemese de, sıfır gün istismarı, özellikle ABD hükümetinin devreye girip katı bir güvenlik önlemi yayınlamasıyla bir tedirginlik havasına yol açtı. güvenlik güncellemesiyle ilgili sipariş.
Tarafından bildirildiği gibi Forbes, hükümet federal çalışanlara iki seçenekten birini tercih etmelerini emretti: Pixel cihazlarını kullanmayı bırakmak veya 4 Temmuz’a kadar telefonu güncellemek. Bu, kullanıcılara siparişe göre harekete geçmeleri için 10 gün verir. Uyarı devlet kurumlarına yönelik olsa bile şirketler bu emre uyuyor olabilir ve şirketlerin internetine bağlanan kişilerin de olası zararlara karşı önlem almak için güvenlik güncellemesine devam etmesi gerekiyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bilinen Açıklardan Yararlanan KEV listelerinde, ürün yazılımındaki potansiyel güvenlik riskini ortaya koydu ve Pixel kullanıcılarını bu kusur konusunda uyardı. Bu güvenlik açığı, saldırganlara, özel bilgilere erişebilmeleri için kötü amaçlı uygulamaları kullanarak telefona erişmeleri için bir pencere sağladı.
GrapheneOS, sorunun daha önce Nisan ayında bildirildiğini ve bunun aynı güvenlik sorununun başka bir parçası olduğunu, CVE-2024-29748 güvenlik açığı için düzeltmelerin oluşturulduğunu ve adli tıp şirketleri tarafından aktif olarak kullanıldığını belirtti.
Pixel önyükleme zinciri donanım yazılımının Nisan sürümü, GrapheneOS tarafından bildirilen ve adli tıp şirketleri tarafından aktif olarak istismar edilen 2 güvenlik açığına yönelik düzeltmeleri içerir:https://t.co/W9OjQcfZ30https://t.co/UWAaA9er57
Bunlara CVE-2024-29745 ve CVE-2024-29748 atanmıştır.
— GrapheneOS (@GrapheneOS) 2 Nisan 2024
Şirket ayrıca sorunun Pixel cihazlarla sınırlı olmadığına dair endişesini dile getirerek, sorunun Android cihazlara da yayılacağını ve Android 15’e güncellendiğinde çözüleceğini belirtti. Firma şunları söylüyor:
Haziran güncellemesiyle (Android 14 QPR3) Pixel’lerde düzeltilen sorun, diğer Android cihazlarda da Android 15’e güncellendiğinde düzeltilecektir.
Kullanıcılar Pixel cihazlarını Ayarlar’a gidip Sistemler’e dokunarak ve hâlâ güncelleme yapmamışlarsa buradan Yazılım güncelleme’yi seçerek güncelleyebilirler. Tüm Android kullanıcılarının, cihazlarının zarar görmemesi için CISA’nın uyarısını ciddiye alması gerekiyor.
