Google发布3月安卓例行更新，修补2项零时差漏洞

Google发布3月安卓例行更新，修补2项零时差漏洞

3月3日Google发布安全公告，推出安卓操作系统本月份例行更新，总共修补44项弱点，值得留意的是，他们提及有两项漏洞CVE-2024-43093、CVE-2024-50302被少数人利用，从事攻击行动。

这两项漏洞能被用于权限提升与资讯泄露，根据CVSS风险评分，危险程度较高的是权限提升漏洞CVE-2024-43093，这项弱点出现于安卓作业统的框架、Google Play系统更新的子组件Documents UI，起因是在名为ExternalStorageProvider.java的组件，存在错误的Unicode范式处理，使得攻击者有机会绕过文件路径过滤机制，访问敏感文件夹，而有可能导致本机权限提升，风险值为7.8。不过，攻击者若要利用这项漏洞，需要与用户互动，才能得逞。

另一项零时差漏洞CVE-2024-50302存在于Linux操作系统核心子组件HID，为资讯泄露漏洞，这项弱点的症结在于产生统计报告所用的内存缓冲区，可被各式驱动程序运用，攻击者可借由特定的报告触发漏洞，而有机会泄露核心内存的内容，CVSS风险为5.5。附带一提的是，这项漏洞已传出被塞尔维亚警方于去年12月滥用，他们将其用于解锁社会运动人士的手机（当局利用数字鉴识企业Cellebrite的工具来达到目的）。