Google выпустила апрельское обновление безопасности для Android, устранив 62 уязвимости, включая две критические 0-day

Компания Google закрыла 62 уязвимости в операционной системе Android, две из которых — критические «нулевого дня» (0-day), уже эксплуатируемые злоумышленниками в целевых атаках. Об этом сообщает SecurityLab.

Ключевые уязвимости и их эксплуатация

Одна из опасных брешей (CVE-2024-53197) связана с повышением привилегий в драйвере USB-audio для устройств ALSA в ядре Linux. Исследователи установили, что эта уязвимость входила в цепочку эксплойтов, разработанную израильской компанией Cellebrite и применявшуюся сербскими властями для доступа к заблокированным Android-устройствам в ходе расследований.

Ранее в этой же цепочке были обнаружены и исправлены другие уязвимости:

• CVE-2024-53104 (в USB Video Class, устранена в феврале),

• CVE-2024-50302 (в устройствах ввода HID, исправлена в марте).

Выявление всей цепочки стало возможным благодаря анализу логов устройств, проведенному специалистами Amnesty International Security Lab.

В Google заявили, что знали об этих уязвимостях заранее и передали исправления производителям еще 18 января в рамках специального уведомления.

Вторая 0-day уязвимость и другие исправления

Вторая критическая уязвимость (CVE-2024-53150) связана с утечкой данных из ядра Android из-за ошибки чтения за пределами выделенной памяти. Она позволяла локальному злоумышленнику получать конфиденциальную информацию без взаимодействия с пользователем.

Помимо двух 0-day, апрельское обновление устраняет еще 60 уязвимостей, большинство из которых также классифицируются как высокорисковые и связаны с повышением привилегий.

Особенности обновления

Google традиционно выпускает два пакета исправлений в месяц:

• 2025-04-01 (5 апреля) — базовые исправления,

• 2025-04-05 (10 апреля) — дополнительные патчи для закрытых компонентов и ядра.

Владельцы Pixel получают обновления первыми, тогда как другие производители выпускают их с задержкой из-за дополнительного тестирования.

Контекст: предыдущие атаки с использованием 0-day

В ноябре 2024 года Google уже устраняла CVE-2024-43047 — еще одну 0-day уязвимость, которую, по данным Project Zero, использовали сербские власти в рамках шпионской кампании NoviSpy против активистов и журналистов.

Рекомендация: Установите апрельское обновление как можно скорее, чтобы защититься от потенциальных атак.