【安全圈】谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞
【安全圈】谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞
安全圈 2025-04-09 19:01
关键词
零日漏洞
谷歌近日发布了2025年4月Android安全更新,共修复62个安全漏洞。其中尤以两个已被实际利用的零日漏洞最为引人注目,暴露了Android系统面临的严峻安全挑战。
技术分析显示,第一个高危零日漏洞CVE-2024-53197存在于Linux内核的ALSA设备USB音频驱动程序中,属于权限提升类漏洞。令人担忧的是,该漏洞已被证实应用于塞尔维亚当局的数字取证行动中,作为以色列Cellebrite公司开发的漏洞利用链的核心组件。国际特赦组织安全实验室在分析塞尔维亚警方设备时发现,这一漏洞利用链还包含了此前已修复的CVE-2024-53104(USB视频类漏洞)和CVE-2024-50302(人机接口设备漏洞)。
第二个零日漏洞CVE-2024-53150则是Android内核的信息泄露漏洞,其危害性在于攻击者可在无需用户交互的情况下,通过越界读取操作获取设备敏感信息。
谷歌安全团队向媒体透露,公司早在1月18日就已将这些漏洞的修复方案分享给OEM合作伙伴。4月更新分为两组安全补丁——2025-04-01和2025-04-05补丁级别,后者包含更全面的修复,涉及闭源第三方组件和内核子系统。
值得注意的是,这并非谷歌首次处理被主动利用的Android漏洞。去年11月修复的CVE-2024-43047同样被塞尔维亚政府用于针对社会活动人士、记者和抗议者的NoviSpy间谍软件攻击。
安全专家指出,Pixel系列设备将优先获得更新,而其他厂商则需要更长时间进行适配测试。考虑到这些漏洞的现实危害,建议所有Android用户尽快检查并安装最新安全补丁。此次更新突显了移动操作系统面临的持续安全挑战,以及供应链各环节协同响应的重要性。
来源:https://www.bleepingcomputer.com/news/security/google-fixes-android-zero-days-exploited-in-attacks-60-other-flaws/
END
阅读推荐
【安全圈】黑客利用 Windows .RDP 文件进行恶意远程桌面连接
【安全圈】黑客利用 VPS 托管提供商传播恶意软件并逃避检测
【安全圈】Dell PowerProtect 系统漏洞可让远程攻击者执行任意命令
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!