A Google a novemberi biztonsági frissítése során összesen 51 biztonsági hibát javított, köztük két aktívan kihasznált nulladik napi Android sebezhetőséget. A CVE-2024-43047 és CVE-2024-43093 néven nyomon követett sérülékenységeket a támadók célzott spyware támadások során használják ki.
A CVE-2024-43047 egy olyan magas kockázati besorolású use-after-free (UAF) sérülékenység az Android kernelt érintően, amely jogosultságiszint-emelést tesz lehetővé. A hibát először 2024. október elején tárta fel a Qualcomm.
A CVE-2024-43093 szintén egy magas kockázati besorolású jogosultság-kiterjesztési hiba, amely az Android Framework komponenst és a Google Play rendszerfrissítéseit érinti, különösen a Documents felhasználói felületén.
A javított hibák közül még érdemes megemlíteni a CVE-2024-38408 kritikus sérülékenységet, mely a Qualcomm proprietary komponensét is érinti.
A kijavított hibák az Android 12 és 15 közötti verzióit érintik, amelyek közül néhány a mobil operációs rendszer bizonyos verzióira korlátozódik. A Google havi két alkalommal ad ki biztonsági frissítést, a novemberi két javítócsomag a 2024-11-01 és a 2024-11-05 dátumozású.
A legújabb frissítés alkalmazásához az alábbi lépések szükségesek:
Lépjünk be a Beállítások (Settings) / Rendszer (System) / Szoftverfrissítések (Software updates) / Rendszerfrissítés (System update) menüpontba.
Alternatív megoldásként lépjünk be a Beállítások (Settings) / Biztonság és adatvédelem (Security & privacy) / Rendszer és frissítések (System & updates) / Biztonsági frissítés (Security update) menüpontra. A frissítés telepítéséhez újraindítás szükséges.
Az Android 11 és a régebbi verziók már nem támogatottak ugyan, de a Google Play rendszerfrissítésein keresztül biztonsági frissítéseket kaphatnak az aktívan kihasznált hibák kritikus sérülékenységeihez, de ez nem garantált.
