【安全资讯】Android零日漏洞CVE-2024-43047与CVE-2024-43093亟需修补

概要：

在2024年11月的安全更新中，谷歌修复了Android操作系统中的40个安全漏洞，其中两个被标记为正在被积极利用的零日漏洞：CVE-2024-43047和CVE-2024-43093。这些漏洞的存在对Android用户构成了严重威胁，迫切需要进行修补。

主要内容：

CVE-2024-43047是一个高危漏洞，CVSS评分为7.8，位于高通数字信号处理器（DSP）服务中。该漏洞由谷歌Project Zero、国际特赦组织安全实验室及独立安全研究员Conghui Wang发现，影响多个高通芯片组。利用这一“使用后释放”漏洞可能导致内存损坏，从而使攻击者能够提升权限并控制受影响的设备。虽然高通在10月份发布了针对该漏洞的补丁，但其在11月Android安全更新中的包含确保了更广泛的分发和修复。

此外，CVE-2024-43093是一个影响Android框架组件的权限提升漏洞，涉及Android 12、13、14和15版本，可能使大量Android生态系统面临攻击风险。谷歌通常以两个补丁级别发布更新：2024年11月1日补丁级别针对核心Android组件，2024年11月5日补丁级别则解决特定硬件组件的漏洞，包括高通、联发科技和Imagination Technologies等。

鉴于这些漏洞的积极利用，Android用户被强烈建议尽快安装11月的安全更新，以降低被攻击的风险。