Google zverejnil opravy pre 62 zraniteľností, pričom uviedol, že dve z nich boli aktívne zneužívané v praxi.
Dve vysoko závažné zraniteľnosti sú:
• CVE-2024-53150 (CVSS skóre: 7,8) – Chyba mimo rozsah v USB podkomponente jadra, ktorá môže viesť k úniku informácií.
• CVE-2024-53197 (CVSS skóre: 7,8) – Chyba umožňujúca eskaláciu oprávnení v USB podkomponente jadra.
„Najzávažnejšou z týchto chýb je kritická bezpečnostná zraniteľnosť v systémovej komponente, ktorá môže viesť k vzdialenej eskalácii oprávnení bez potreby ďalších oprávnení na vykonanie kódu,“ uviedol Google vo svojom bezpečnostnom bulletine za apríl 2025. „Na zneužitie nie je potrebná interakcia používateľa.“
Technologický gigant taktiež potvrdil, že obe chyby mohli byť súčasťou „obmedzeného, cieleného zneužitia“.
Za zmienku stojí, že zraniteľnosť CVE-2024-53197 pochádza z linuxového jadra a bola opravená už minulý rok, spolu so zraniteľnosťami CVE-2024-53104 a CVE-2024-50302. Podľa organizácie Amnesty International boli tieto tri zraniteľnosti použité spoločne pri útoku na telefón s Androidom, ktorý používal srbský mládežnícky aktivista v decembri 2024.
Zatiaľ čo CVE-2024-53104 bola Googlom opravená vo februári 2025, CVE-2024-50302 bola opravená minulý mesiac. Najnovšou aktualizáciou boli opravené všetky tri zraniteľnosti, čím sa efektívne zablokovala cesta pre útok.
Momentálne nie sú známe podrobnosti o tom, ako bola CVE-2024-53150 zneužitá v reálnych útokoch, kto za tým stál, a kto mohol byť cieľom. Používateľom Android zariadení sa odporúča nainštalovať aktualizácie hneď, ako ich výrobcovia (OEM) sprístupnia.
Ďalšie informácie je možné nájsť na stránkach: