Google phát hành bản vá lỗ hổng RCE nghiêm trọng trong bản cập nhật bảo mật Pixel tháng 12/2024

Google vừa phát hành bản cập nhật bảo mật tháng 12/2024 dành cho các thiết bị Pixel, khắc phục 28 lỗ hổng bảo mật, trong đó có hai lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng liên quan đến tính năng Cellular Baseband.

Bản cập nhật này được chia làm hai phần. Phần đầu tập trung xử lý sáu lỗ hổng trong các thành phần Framework và System. Phần còn lại giải quyết các lỗ hổng trong các thành phần đến từ Imagination Technologies, MediaTek, và Qualcomm.

Hai lỗ hổng nghiêm trọng, được định danh là CVE-2024-39343 CVE-2024-53842, nằm trong thành phần phụ Cellular Baseband. Những lỗ hổng này có thể cho phép kẻ tấn công từ xa thực thi mã độc trên thiết bị bị ảnh hưởng, gây nguy cơ lớn đối với người dùng.

Ngoài các lỗ hổng RCE nghiêm trọng, bản cập nhật này còn khắc phục một số lỗ hổng bảo mật có mức độ nghiêm trọng cao khác, bao gồm:

  • Lỗ hổng nâng cao đặc quyền (EoP): Ghi nhận trong các thành phần eSIM (CVE-2024-8257), VPN (CVE-2024-11624), và FPS (CVE-2024-53835, CVE-2024-53840).
  • Lỗ hổng RCE trong System: (CVE-2024-43767) có thể bị khai thác mà không cần đặc quyền bổ sung.

Các bản vá này áp dụng cho nhiều phiên bản Android, từ Android 12 đến Android 15, với mã nguồn cập nhật đã được công khai trong kho lưu trữ Android Open Source Project (AOSP).

Hiện tại, Google chưa ghi nhận các trường hợp lỗ hổng này bị khai thác trong thực tế. Tuy nhiên, người dùng được khuyến nghị cập nhật thiết bị của mình ngay khi bản vá bảo mật khả dụng để giảm thiểu nguy cơ bị tấn công.

Do bản cập nhật được triển khai theo từng giai đoạn, việc nhận được bản vá có thể mất một thời gian. Người dùng có thể kiểm tra thủ công bằng cách vào: Cài đặt > Hệ thống > Cập nhật hệ thống.

Việc nhanh chóng cập nhật sẽ giúp bảo vệ thiết bị khỏi các mối đe dọa tiềm ẩn từ các lỗ hổng bảo mật nghiêm trọng này.

Nguồn: Security Online