谷歌警告称，影响其 Android 操作系统的安全漏洞已遭到广泛利用。

根据代码提交消息显示，该漏洞的编号为 CVE-2024-43093，是 Android 框架组件中的一个权限提升缺陷，可能导致未经授权访问“Android/data”、“Android/obb”和“Android/sandbox”目录及其子目录。

目前尚无关于该漏洞如何在现实世界的攻击中被利用的详细信息，但谷歌在其月度公告中承认，有迹象表明该漏洞“可能受到有限的、有针对性的利用”。

该科技巨头还指出，高通芯片组中现已修复的安全漏洞 CVE-2024-43047 已被积极利用。该漏洞是数字信号处理器 (DSP) 服务中的一个释放后使用漏洞，成功利用该安全漏洞可能会导致内存损坏。

上个月，该芯片制造商对谷歌 Project Zero 研究员 Seth Jenkins 和 Conghui Wang 报告此漏洞表示感谢，并对国际特赦组织安全实验室确认了这一实际活动表示感谢。

该公告未提供针对该漏洞的攻击活动细节或攻击时间，不过该漏洞有可能被用作针对民间社会成员的高度针对性的间谍软件攻击的一部分。

目前还不清楚这两个安全漏洞是否被设计成一个漏洞利用链，以提升权限并实现代码执行。

CVE-2024-43093 是继CVE-2024-32896之后第二个被积极利用的 Android 框架漏洞，谷歌早在 2024 年 6 月和 9 月就修补了该漏洞。虽然该漏洞最初仅针对 Pixel 设备得到解决，但该公司后来证实该漏洞影响了更广泛的 Android 生态系统。