Google выпустила обновление Android, направленное на устранение 62 уязвимостей, среди которых две активно эксплуатируемые проблемы представляют особую опасность.
Уязвимости с идентификаторами CVE-2024-53150 и CVE-2024-53197 получили высокий приоритет благодаря оценке по шкале CVSS 7.8, что указывает на существенные риски для безопасности устройств.
Ошибка CVE-2024-53150, обнаруженная в USB-подсистеме ядра, связана с выходом за границы допустимых индексов и может привести к несанкционированному раскрытию конфиденциальной информации.
Уязвимость CVE-2024-53197 позволяет злоумышленникам осуществить повышение привилегий в системе, что открывает доступ к критически важным функциям устройства без необходимости обладания дополнительными правами.
Ежемесячный отчёт безопасности за апрель 2025 года содержит следующую цитату: «Самая серьёзная из этих проблем — критическая уязвимость в системном компоненте, которая может привести к удалённому повышению привилегий без необходимости дополнительных прав для выполнения», при этом отмечается, что для эксплуатации не требуется действий со стороны пользователя. Google также зафиксировала, что обе уязвимости могли подвергаться ограниченной целенаправленной эксплуатации.
Корни уязвимости CVE-2024-53197 восходят к ядру Linux, и ранее она корректировалась наряду с CVE-2024-53104 и CVE-2024-50302. Amnesty International установила, что данные три уязвимости были объединены в цепочку, использованную для взлома телефона сербского молодого активиста в декабре 2024 года.
Исправление CVE-2024-53104 было внедрено в феврале 2025 года, а обработка CVE-2024-50302 осуществлена в последние месяцы, что вместе с текущим обновлением закрывает путь эксплуатации, ранее применявшийся в атаках на мобильные устройства.
Поскольку подробности эксплуатации CVE-2024-53150 остаются недостаточно раскрытыми, пользователям Android настоятельно рекомендуется устанавливать обновления по мере их поступления от производителей оборудования для поддержания высокого уровня безопасности устройств.
Изображение носит иллюстративный характер
Уязвимости с идентификаторами CVE-2024-53150 и CVE-2024-53197 получили высокий приоритет благодаря оценке по шкале CVSS 7.8, что указывает на существенные риски для безопасности устройств.
Ошибка CVE-2024-53150, обнаруженная в USB-подсистеме ядра, связана с выходом за границы допустимых индексов и может привести к несанкционированному раскрытию конфиденциальной информации.
Уязвимость CVE-2024-53197 позволяет злоумышленникам осуществить повышение привилегий в системе, что открывает доступ к критически важным функциям устройства без необходимости обладания дополнительными правами.
Ежемесячный отчёт безопасности за апрель 2025 года содержит следующую цитату: «Самая серьёзная из этих проблем — критическая уязвимость в системном компоненте, которая может привести к удалённому повышению привилегий без необходимости дополнительных прав для выполнения», при этом отмечается, что для эксплуатации не требуется действий со стороны пользователя. Google также зафиксировала, что обе уязвимости могли подвергаться ограниченной целенаправленной эксплуатации.
Корни уязвимости CVE-2024-53197 восходят к ядру Linux, и ранее она корректировалась наряду с CVE-2024-53104 и CVE-2024-50302. Amnesty International установила, что данные три уязвимости были объединены в цепочку, использованную для взлома телефона сербского молодого активиста в декабре 2024 года.
Исправление CVE-2024-53104 было внедрено в феврале 2025 года, а обработка CVE-2024-50302 осуществлена в последние месяцы, что вместе с текущим обновлением закрывает путь эксплуатации, ранее применявшийся в атаках на мобильные устройства.
Поскольку подробности эксплуатации CVE-2024-53150 остаются недостаточно раскрытыми, пользователям Android настоятельно рекомендуется устанавливать обновления по мере их поступления от производителей оборудования для поддержания высокого уровня безопасности устройств.
