谷歌已经发布了 Android 操作系统的月度安全更新，以解决一个已知的安全漏洞，它表示该漏洞已在野外被积极利用。

该高严重性漏洞被跟踪为 CVE-2024-32896（CVSS 评分：7.8），与 Android 框架组件中的权限升级有关。

根据 NIST 国家漏洞数据库 （NVD） 中的错误描述，它涉及一个逻辑错误，该错误可能导致本地权限升级，而无需任何额外的执行权限。

“有迹象表明，CVE-2024-32896 可能受到有限的、有针对性的利用，”谷歌在其 2024 年 9 月的 Android 安全公告中表示。

值得注意的是，CVE-2024-32896 于 2024 年 6 月首次披露，仅影响 Google 拥有的 Pixel 系列。

目前没有关于该漏洞如何被广泛利用的详细信息，尽管 GrapheneOS 维护者透露，CVE-2024-32896 为 CVE-2024-29748 提供了部分解决方案，CVE-2024-29748 是另一个已被取证公司武器化的 Android 漏洞。

谷歌后来向 The Hacker News 证实，CVE-2024-32896 的影响超出了 Pixel 设备，包括整个 Android 生态系统，并且它正在与原始设备制造商 （OEM） 合作，在适用的情况下应用修复程序。

“此漏洞需要对设备进行物理访问才能利用并中断出厂重置过程，”谷歌当时指出。“需要额外的漏洞来破坏设备。”

“我们正在优先考虑其他 Android OEM 合作伙伴的适用修复程序，并将在可用后立即推出。作为最佳安全实践，只要有新的安全更新可用，用户就应始终更新其设备。