Tháng trước, chính phủ Mỹ đã ra chỉ thị yêu cầu tất cả nhân viên làm việc cho cơ quan liên bang phải cài đặt bản cập nhật bảo mật mới nhất cho điện thoại Pixel trước ngày 4/7 hoặc sẽ phải ngừng sử dụng thiết bị. Chiến lược này dựa trên danh sách các lỗ hổng bảo mật đã được phát hiện đang bị tấn công, trong đó có lỗ hổng "CVE-2024-32896".
Việc kh exploit lỗ hổng CVE-2024-32896 có thể cho phép attacker thực hiện cuộc tấn công privilege escalation, cho phép họ truy cập và thu thập dữ liệu mà bên ngoài không thể tiếp cận. Nó cũng có thể cho phép attacker thực hiện các hành động trái phép, mà thường chỉ dành riêng cho người dùng có đặc quyền cao hơn. Đây là một vấn đề nghiêm trọng và lỗ hổng zero-day, có nghĩa là không có bản vá hoặc bản sửa lỗi nào được cung cấp khi phát hiện ra sự cố.
Google đã thông báo rằng CVE-2024-32896 không chỉ ảnh hưởng đến các thiết bị Pixel mà còn là lỗ hổng bảo mật trên các thiết bị Samsung Galaxy và tất cả các điện thoại Android khác. Mặc dù Samsung đã phát hành bản cập nhật bảo mật tháng 7 cho các điện thoại Galaxy của mình nhưng nó không bao gồm bản vá cho lỗ hổng CVE-2024-32896. Không chỉ vậy, các mẫu smartphone Android khác vẫn chưa khắc phục được sự cố, với ngoại lệ duy nhất thuộc về điện thoại Pixel.
Google tuyên bố rằng vẫn chưa có giải pháp cho lỗi này trên các thiết bị Pixel và cam kết sẽ ưu tiên cung cấp bản vá lỗi cho các đối tác OEM Android để họ có thể triển khai ngay khi sẵn sàng.
Chỉ riêng điện thoại Pixel đã được sửa lỗi trong bản cập nhật tháng 7.
Theo thông tin, bản cập nhật bảo mật tháng 7 của Samsung đã sửa ba lỗ hổng nghiêm trọng liên quan đến chip từ Qualcomm đã được cải thiện cho điện thoại Pixel vào tháng 6. Samsung lại dần trễ một lần nữa. Lý giải cho điều này, công ty Hàn Quốc cho biết rằng việc phổ biến các bản vá cho các lỗ hổng của Qualcomm mất nhiều thời gian hơn so với việc phổ biến các bản vá cho phần mềm và firmware.
Bên cạnh đó, một trong những điểm đáng chú ý trong bản cập nhật bảo mật tháng 7 của Samsung đã giải quyết lỗi CVE-2024-31320, với cảnh báo từ Google cho biết it “có thể dẫn đến leo thang đặc quyền cục bộ mà không cần thêm quyền thực thi nào”. Hi vọng rằng bản cập nhật bảo mật tháng 8 của Samsung vào tháng sau sẽ vá lỗi CVE-2024-32896.