Tháng trước, chính phủ Mỹ đã ra lệnh cho tất cả nhân viên liên bang sử dụng điện thoại Pixel phải cài đặt bản cập nhật bảo mật mới nhất trước ngày 4/7 hoặc ngừng sử dụng thiết bị. Lệnh đó xuất phát từ danh sách các lỗ hổng đã biết đang bị khai thác, mà cụ thể là lỗ hổng “CVE-2024-32896”.
Việc khai thác lỗ hổng CVE-2024-32896 có thể cho phép kẻ tấn công leo thang đặc quyền, vốn cho phép chúng sử dụng ứng dụng để truy cập và thu thập dữ liệu mà kẻ xấu thường sẽ không thể tiếp cận. Nó cũng có thể cho phép kẻ tấn công thực hiện các hành động trái phép thường dành riêng cho người dùng có đặc quyền cao hơn. Đó là một vấn đề nghiêm trọng và là một lỗ hổng zero-day, tức không có bản vá hoặc bản sửa lỗi nào có sẵn tại thời điểm phát hiện ra sự cố.
Google đã thông báo rằng CVE-2024-32896 không chỉ ảnh hưởng đến các thiết bị Pixel mà còn là lỗ hổng bảo mật trên các thiết bị Samsung Galaxy và tất cả các điện thoại Android khác. Mặc dù Samsung đã phát hành bản cập nhật bảo mật tháng 7 cho các điện thoại Galaxy của mình nhưng nó không bao gồm bản vá cho lỗ hổng CVE-2024-32896. Không chỉ vậy, các mẫu smartphone Android khác vẫn chưa khắc phục được sự cố, với ngoại lệ duy nhất thuộc về điện thoại Pixel.
Google thừa nhận rằng lỗi này vẫn chưa được vá bên ngoài các thiết bị Pixel, đồng thời cho biết công ty sẽ ưu tiên các bản sửa lỗi cho các đối tác OEM Android để họ sẵn sàng triển khai khi có sẵn.
Riêng điện thoại Pixel hiện đã được vá lỗ hổng trong bản cập nhật tháng 7.
Được biết, bản cập nhật bảo mật tháng 7 của Samsung đã vá ba lỗ hổng nghiêm trọng liên quan đến chip đến từ Qualcomm đã được khắc phục cho điện thoại Pixel vào tháng 6, tức Samsung lại chậm trễ thêm một lần nữa. Giải thích cho điều này, công ty Hàn Quốc cho biết các bản vá thành phần như bản vá cho các lỗ hổng của Qualcomm mất nhiều thời gian hơn để phổ biến so với các bản sửa lỗi phần mềm và firmware.
Bên cạnh đó, một trong những vá trong bản cập nhật bảo mật tháng 7 của Samsung đã khắc phục lỗ hổng có tên CVE-2024-31320, với cảnh báo từ Google cho biết nó “có thể dẫn đến leo thang đặc quyền cục bộ mà không cần thêm đặc quyền thực thi nào”. Hy vọng rằng bản cập nhật bảo mật tháng 8 của Samsung vào tháng tới sẽ vá lỗ hổng CVE-2024-32896.