行业新闻与博客

谷歌发布的最新 Android 安全更新已修复 62 个漏洞，其中包括两个正在被积极利用的零日漏洞。

这些高严重性问题（编号为 CVE-2024-53150 和 CVE-2024-53197）是在 Linux 内核的 USB 子组件中发现的，可用于提升权限或访问敏感信息，而无需用户交互。

CVE-2024-53197 是一个权限提升漏洞，而 CVE-2024-53150 是一个越界读取漏洞，可能导致数据泄露。两者的 CVSS 评分均为 7.8，并于 2024 年 12 月在 Linux 内核中初步修复。

谷歌证实，这两个问题可能已被利用来进行“有限的、有针对性的”攻击。

Jamf 公司欧洲、中东和印度地区高级安全战略经理亚当·博因顿 (Adam Boynton) 表示：“这两个缺陷都出在内核上，内核是操作系统的核心部分，充当着硬件和软件之间的中介。”

“CVE-2024-53150 允许攻击者无需用户交互即可访问敏感信息，而 CVE-2024-53197 如果被攻击者利用，则可能导致内存损坏甚至权限提升。”

与 Cellebrite 漏洞相关的漏洞

已修补的漏洞之一 CVE-2024-53197 与以色列数字取证公司 Cellebrite 使用的漏洞链有关。 

据国际特赦组织称，Cellebrite 利用该漏洞以及 CVE-2024-53104 和 CVE-2024-50302 于 2024 年 12 月获取了一名塞尔维亚活动人士的手机访问权限。

所有这三个漏洞均已通过最近的 Android 更新得到解决。

谷歌没有分享有关 CVE-2024-53150 实际使用情况的具体细节，但研究人员认为它可能是同一漏洞利用链的一部分。

以安全为重点的 GrapheneOS 项目也指出了这些漏洞之间的相似之处。

“这些 CVE 现已公开，”Boynton 补充道。“更多攻击者可能会瞄准尚未更新的设备。”

修复了另外 60 个漏洞

除了这两个零日漏洞外，谷歌 2025 年 4 月的更新还修复了 Android 各个组件中的其他 60 个漏洞。这些包括：

• 2025-04-01 补丁级别解决了 28 个问题，涵盖系统和框架
• 2025-04-05 补丁级别新增 31 个漏洞，针对内核、高通、联发科和其他第三方组件

本周期内没有针对 Automotive OS 或 Wear OS 的新补丁

博因顿表示：“目前有两个漏洞正被网络犯罪分子利用，Android 用户必须立即更新其设备。”

“尽管这是一次有针对性的攻击，但我们强烈建议所有用户更新他们的 Android 操作系统。”

Pixel 设备将首先收到更新，三星、一加和摩托罗拉等其他制造商预计将很快跟进。谷歌表示，这些补丁已于 1 月分发给合作伙伴。