Google Pixel: rilevato sfruttamento in rete delle CVE-2024-29745 e CVE-2024-29748 (AL03/240404/CSIRT-ITA)

Data:
4 Aprile 2024 12:27

Sintesi

Aggiornamenti di sicurezza Google risolvono 24 vulnerabilità nei dispositivi Pixel. Di tali vulnerabilità si evidenziano le CVE-2024-29745 e CVE-2024-29748, per le quali il vendor afferma la presenza di evidenze di sfruttamento attivo in rete che potrebbero permettere la divulgazione di informazioni sensibili e la possibilità di ottenere privilegi elevati sui dispositivi interessati.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,23/100)¹.

Tipologia

Elevation of Privilege
Information Disclosure

Prodotti e versioni affette

Tutti i dispositivi Google Pixel supportati, con patch di sicurezza precedenti a aprile 2024

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile al link presente nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-IDs
CVE-2024-29740	CVE-2024-29741	CVE-2024-29743	CVE-2024-29748
CVE-2024-29749	CVE-2024-29752	CVE-2024-29753	CVE-2024-29757
CVE-2024-27231	CVE-2024-27232	CVE-2024-29738	CVE-2024-29744
CVE-2024-29745	CVE-2024-29747	CVE-2024-29750	CVE-2024-29751
CVE-2024-29754	CVE-2024-29755	CVE-2024-29782	CVE-2024-29783
CVE-2024-29746	CVE-2024-29756	CVE-2024-29739	CVE-2024-29742

Riferimenti

https://source.android.com/docs/security/bulletin/pixel/2024-04-01?hl=it

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.

CSIRT Toscana

CSIRT Toscana