CRITICAL🇬🇧 English

CVE-2024-32911

Privilege Escalation w Google Android — błąd kryptograficzny (CVE-2024-32911)

CVSS 9.8v3.1pub. 2024-06-13upd. 2024-11-21

Podatność w Google Android wynikająca z nieprawidłowego zastosowania mechanizmów kryptograficznych umożliwia zdalne eskalowanie uprawnień bez jakiejkolwiek interakcji użytkownika. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko.

Pokaż oryginał (EN)

There is a possible escalation of privilege due to improperly used crypto. This could lead to remote escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowym użyciu kryptografii (CWE-327 — użycie słabego lub nieprawidłowego algorytmu kryptograficznego, CWE-347 — brak weryfikacji podpisu kryptograficznego). Nieprawidłowa implementacja mechanizmów kryptograficznych może umożliwić atakującemu obejście zabezpieczeń opartych na weryfikacji integralności lub autentyczności danych. Eksploatacja jest możliwa zdalnie, bez potrzeby posiadania dodatkowych uprawnień ani angażowania użytkownika.

Skutki

Atakujący może zdalnie uzyskać eskalację uprawnień na podatnym urządzeniu z systemem Android, potencjalnie uzyskując pełną kontrolę nad systemem (poufność, integralność i dostępność są w pełni zagrożone).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Pixel opublikowany 2024-06-01 (https://source.android.com/security/bulletin/pixel/2024-06-01). Zalecana natychmiastowa aktualizacja oprogramowania urządzenia do najnowszej dostępnej wersji.

Kogo dotyczy

Google Android — wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Pixel z czerwca 2024)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Google Android

    OS
    Google
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-16010CRITICAL9.6⚠ KEVten sam produkt

Heap buffer overflow in UI in Google Chrome on Android prior to 86.0.4240.185 allowed a remote attacker who ha...

CVE-2016-1019CRITICAL9.8⚠ KEVten sam produkt

Adobe Flash Player 21.0.0.197 and earlier allows remote attackers to cause a denial of service (application cr...

CVE-2026-13851CRITICAL9.1ten sam produkt

Insufficient validation of untrusted input in WebAppInstalls in Google Chrome on Android prior to 150.0.7871.4...

CVE-2026-13852CRITICAL9.1ten sam produkt

Insufficient validation of untrusted input in WebAppInstalls in Google Chrome on Android prior to 150.0.7871.4...

CVE-2026-14106CRITICAL9.6ten sam produkt

Insufficient validation of untrusted input in Text in Google Chrome on Android prior to 150.0.7871.47 allowed ...