Chủ sở hữu Samsung Galaxy cần làm ngay điều này vào tháng sau
Leo thang đặc quyền cho phép kẻ tấn công sử dụng ứng dụng để thu thập các thông tin đến từ sử dụng thiết bị.
Vào tháng 6, chính phủ Mỹ đã yêu cầu những người sở hữu Pixel làm việc cho chính phủ liên bang phải cập nhật điện thoại của họ trước ngày 4/7 hoặc ngừng sử dụng chúng. Điều này là vì các thiết bị Pixel chứa lỗ hổng bảo mật đã bị khai thác (KEV) trong firmware mở ra các hình thức leo thang đặc quyền.
Các thiết bị Pixel đã được vá lỗ hổng CVE-2024-32896 thông qua bản cập nhật tháng 6.
Danh sách Known Exploited Vulnerabilities ghi nhận lỗ hổng này là CVE-2024-32896 có thể bị khai thác “có mục tiêu, hạn chế”. Mỗi CEV là một lỗ hổng hoặc lỗi cụ thể ảnh hưởng đến thiết bị di động khi bị kẻ xấu khai thác. Chúng được gán số CVE (Common Vulnerabilities and Exposures) để giúp lập danh mục cho các kỹ sư phần mềm phát triển các bản vá lỗi khắc phục lỗ hổng.
Google được xác định là đã vá được lỗi trên tất cả các mẫu Pixel thông qua bản cập nhật bảo mật tháng 6, nhưng vào thời điểm đó, CVE-2024-32896 cũng là mối đe dọa trên các điện thoại Android khác, bao gồm cả điện thoại Galaxy từ Samsung. Công ty này vẫn chưa vá điện thoại của mình, nghĩa là lỗi vẫn có thể bị khai thác trên điện thoại Galaxy. Đây là lý do tại sao Samsung cho biết người dùng điện thoại của hãng cần cài đặt bản cập nhật bảo mật tháng 8 khi nó được phát hành vào đầu tháng tới.
Ngày phát hành thực tế của bản cập nhật bảo mật tháng 8 phụ thuộc vào thiết bị, quốc gia và nhà cung cấp mạng của từng điện thoại Samsung, mặc dù có vẻ như việc phát hành sẽ sớm diễn ra khi nhìn vào mối nguy hiểm từ lỗ hổng bảo mật.
Điện thoại Galaxy sẽ được giải quyết lỗ hổng CVE-2024-32896 qua bản cập nhật tháng 8.
Một lỗ hổng bảo mật đáng lo ngại khác vẫn chưa được vá cho tất cả các điện thoại Android ngoài các mẫu Pixel là CVE-2024-29745, thậm chí còn nguy hiểm hơn cả CVE-2024-32896. Google cho biết lỗ hổng này đã được vá cho các thiết bị Pixel vào tháng 4. CVE-2024-29745 được cho là cần phải hoạt động phối hợp với một lỗ hổng bảo mật khác để gây ra thiệt hại cho các điện thoại Android chưa được vá.
CVE-2024-29745 tác động đến phần mềm cơ sở do từng nhà sản xuất phát hành và sẽ cần được từng nhà sản xuất khắc phục. Hy vọng Samsung sẽ đưa các bản vá cho cả hai lỗ hổng bảo mật vào bản cập nhật bảo mật tháng 8.
Các điện thoại Android khác có thể nhận được bản vá cho cả hai lỗ hổng khi phiên bản ổn định của Android 15 được phát hành cho từng điện thoại. Samsung muốn điện thoại của họ được vá trước khi phát hành Android 15 và bây giờ có vẻ như điều này sẽ xảy ra. Chính vì vậy, chủ sở hữu thiết bị Galaxy cần cài đặt ngay lập tức bản cập nhật tháng 8 khi nó được triển khai cho thiết bị của mình.
