Google, Android işletim sistemi için, yaygın olarak kullanılan bir güvenlik açığını gidermek amacıyla aylık güvenlik güncellemelerini yayınladı.
CVE-2024-32896 (CVSS puanı: 7,8) olarak izlenen yüksek öneme sahip güvenlik açığı, Android Framework bileşenindeki bir ayrıcalık yükseltme vakasıyla ilgilidir.
Buna göre Tanım NIST Ulusal Güvenlik Açığı Veritabanı’ndaki (NVD) hatanın, herhangi bir ek yürütme ayrıcalığı gerektirmeden yerel ayrıcalıkların artırılmasına yol açabilecek bir mantık hatasıyla ilgili olduğu belirtiliyor.
“CVE-2024-32896’nın sınırlı, hedefli bir şekilde kullanıldığına dair belirtiler var,” Google söz konusu Eylül 2024 Android Güvenlik Bülteni’nde.
CVE-2024-32896’nın ilk olarak Haziran 2024’te yalnızca Google’ın sahibi olduğu Pixel serisini etkilediği açıklanmıştı.
Bu güvenlik açığının gerçek hayatta nasıl kullanıldığına dair henüz bir ayrıntı yok, ancak GrapheneOS geliştiricileri, CVE-2024-32896’nın, adli bilişim şirketleri tarafından silah olarak kullanılan bir diğer Android açığı olan CVE-2024-29748 için kısmi bir çözüm sunduğunu ortaya koydu.
Google daha sonra The Hacker News’e verdiği demeçte, CVE-2024-32896’nın etkisinin Pixel cihazlarıyla sınırlı kalmayıp tüm Android ekosistemini kapsadığını ve mümkün olan yerlerde düzeltmeleri uygulamak için orijinal ekipman üreticileriyle (OEM’ler) birlikte çalıştığını doğruladı.
Google o zamanlar “Bu güvenlik açığı, istismar için cihaza fiziksel erişim gerektirir ve fabrika ayarlarına sıfırlama sürecini kesintiye uğratır,” demişti. “Cihazı tehlikeye atmak için ek istismarlara ihtiyaç duyulur.”
“Diğer Android OEM ortakları için uygulanabilir düzeltmelere öncelik veriyoruz ve bunlar kullanılabilir olur olmaz kullanıma sunacağız. En iyi güvenlik uygulaması olarak, kullanıcılar yeni güvenlik güncellemeleri mevcut olduğunda cihazlarını her zaman güncellemelidir.”
