Google發布3月安卓例行更新，修補2項零時差漏洞

3月3日Google發布資安公告，推出安卓作業系統本月份例行更新，總共修補44項弱點，值得留意的是，他們提及有兩項漏洞CVE-2024-43093、CVE-2024-50302被少數人利用，從事攻擊行動。

這兩項漏洞能被用於權限提升與資訊洩露，根據CVSS風險評分，危險程度較高的是權限提升漏洞CVE-2024-43093，這項弱點出現於安卓作業統的框架、Google Play系統更新的子元件Documents UI，起因是在名為ExternalStorageProvider.java的元件，存在錯誤的Unicode正規化處理，使得攻擊者有機會繞過檔案路徑過濾機制，存取敏感資料夾，而有可能導致本機權限提升，風險值為7.8。不過，攻擊者若要利用這項漏洞，需要與使用者互動，才能得逞。

另一項零時差漏洞CVE-2024-50302存在於Linux作業系統核心子元件HID，為資訊洩露漏洞，這項弱點的癥結在於產生統計報告所用的記憶體緩衝區，可被各式驅動程式運用，攻擊者可藉由特製的報告觸發漏洞，而有機會洩露核心記憶體的內容，CVSS風險為5.5。附帶一提的是，這項漏洞已傳出被塞爾維亞警方於去年12月濫用，他們將其用於解鎖社會運動人士的手機（當局利用數位鑑識業者Cellebrite的工具來達到目的）。