【安全资讯】谷歌发布2024年12月Pixel安全更新 修复关键远程代码执行漏洞

概要：

谷歌于2024年12月推出了针对Pixel设备的安全更新，修复了包括两个关键的远程代码执行（RCE）漏洞在内的28个安全漏洞。这些漏洞的存在可能使攻击者能够远程执行任意代码，给用户带来严重的安全风险。

主要内容：

此次安全更新分为两个部分，第一部分修复了框架和系统组件中的六个安全缺陷，第二部分则针对Imagination Technologies、MediaTek和Qualcomm的组件中的漏洞。两个关键漏洞（CVE-2024-39343和CVE-2024-53842）位于蜂窝基带子组件，攻击者可利用这些漏洞在受影响设备上执行任意代码。

除了这两个关键的RCE漏洞，更新还修复了多个高严重性漏洞，包括eSIM（CVE-2024-8257）、VPN（CVE-2024-11624）和FPS（CVE-2024-53835和CVE-2024-53840）组件中的权限提升（EoP）漏洞。系统组件中的一个远程代码执行漏洞（CVE-2024-43767）也被修复，该漏洞可在没有额外执行权限的情况下被利用。

此次修复覆盖多个Android版本（12至15），更新后的源代码已在Android开源项目（AOSP）库中提供。尽管谷歌尚未披露这些漏洞是否在实际环境中被积极利用，但强烈建议用户在安全更新发布后尽快更新其Pixel设备，以降低潜在攻击的风险。更新将分阶段推出，因此可能需要一些时间才能覆盖所有设备。用户可以通过设置 > 系统 > 系统更新手动检查更新。