CVE-2024-29745
已按 Android 14+ 学习范围重新校验;仅保留与 Android 14/15/16、当前 Pixel/Samsung/Huawei 设备或相关 Linux/Android 内核研究直接相关的条目。
基本信息
- CVE:
CVE-2024-29745 - CVSS:
5.5 - CWE:
CWE-908 - 严重性:
Medium - 类型:
ID - ITW:
✅ CISA KEV / 已确认在野利用 - 层级:
Bootloader - 组件:
Pixel/Fastboot - 版本:
Pixel devices / Android kernel - 校验来源:
CVE.org / CVSS 3.1 / CISA KEV - CVSS Vector:
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞概述
Pixel fastboot/firmware 路径存在未初始化数据导致的信息泄露,已被列入 CISA KEV。
校验摘要
- 站内范围:保留 Android 14 及以上相关内容;官方记录中如同时列出 Android 12/13,仅作为影响范围事实保留,不再建旧版本索引。
- 官方描述要点:可能导致本地信息泄露;通常不需要用户交互;不需要额外执行权限。
- 利用状态:CISA KEV 已收录,按已确认在野利用处理。
影响范围
影响 Pixel/Fastboot 固件/bootloader 路径;需要对应厂商固件更新,不能只看 Android framework 补丁级别。
触发与利用
主要风险是跨用户、跨应用或内核/组件状态信息泄露,可作为后续攻击链的信息收集环节。
修复与缓解
- 优先安装包含对应安全补丁级别(SPL)或厂商 SMR 的系统更新。
- 对 Kernel/Bootloader/Vendor 条目,需以设备厂商发布的 OTA/固件包为准;AOSP patch 不等价于所有终端设备已修复。
- 对 Framework/Native 条目,测试机应确认对应 Android Security Bulletin 月份之后的构建。