尽管Pixel 手机运行安卓系统，不过会从对所有安卓设备OEM发送的月度补丁中获得安全更新。这是因为谷歌直接控制它们的唯一硬件平台、唯一特性和能力。

虽然安卓4月安全公告中并不包含任何严重问题，但 Pixel 设备的安全公告披露了对两个0day漏洞的利用，它们是CVE-2024-29745和CVE-2024-29748。

谷歌提醒称，“有线索表明这两个漏洞可能已遭有限的针对性利用。”CVE-2024-29745是位于 Pixel 引导程序中的高危信息泄露漏洞，CVE-2024-29748是位于 Pixel 固件中的高危提权漏洞。

从事隐私增强和安全的安卓分发平台 GrapheneOS称已发现取证公司正在活跃利用这些漏洞。这两个漏洞可导致企业解锁和访问具有物理访问权限的谷歌 Pixel 设备上的内存。

几个月前，GrapheneOS发现并报送了这些漏洞，公开分享了一些信息，不过并未透露细节，避免在补丁发布前引发大规模的利用。GrapheneOS 平台指出，“CVE-2024-29745是位于用于支持解锁/删除/锁定 fastboot 固件中的漏洞。取证企业在Pixel和其它设备上将处于‘首次解锁后’状态的设备重启为 fastboot 模式，利用其中的漏洞并转储内存。”

谷歌清空了启动fastboot模式时的内存，完成后仅启用 USB 连接，从而使攻击不可行。GrapheneOS 提到，CVE-2024-29748可导致本地攻击者避开由使用设备管理API的应用所发起的出厂重置，导致此类重置不安全。GrapheneOS 表示，谷歌对该漏洞的修复不完整，可能是不正确的，通过切断电源的方式仍然可能阻止刷新。目前该平台正在着手准备更加健壮的强制性 PIN/密码实现以及无需重启的更安全的 “紧急擦除” 操作。

2024年4月的Pixel安全更新修复了24个漏洞，包括严重的提权漏洞CVE-2024-29740。用户可导航至设置＞安全和隐私＞系统和更新＞安全更新，并点击“安装”。完成更新需重启设备。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~