Компанія Google виправила понад 60 вразливостей в Android, включно з двома вразливостями нульового дня, які вже використовувалися в цільових атаках.

Перша 0-day вразливість (CVE-2024-53197) давала змогу підвищити привілеї і була виявлена в USB-аудіодрайвері ядра Linux для ALSA-пристроїв. Повідомляється, що саме ця проблема застосовувалася сербськими правоохоронцями для розблокування конфіскованих Android-пристроїв. Уразливість використовували у складі ланцюжка 0-day експлоїтів, розробленого компанією Cellebrite.

Також цей ланцюжок експлоїтів включав 0-day вразливість у USB Video Class (CVE-2024-53104), виправлену в лютому поточного року, а також 0-day вразливість у Human Interface Devices (CVE-2024-50302), виправлену минулого місяця та виявлену фахівцями Amnesty International Security Lab у середині 2024 року.

Друга проблема нульового дня (CVE-2024-53150), виправлена цього місяця, пов’язана з out-of-bounds читанням і веде до розкриття інформації в ядрі Android. Використовуючи цю вразливість, локальний зловмисник може отримати доступ до конфіденційної інформації на вразливих пристроях без участі користувача.

Google традиційно представила два рівні виправлень: 2025-04-01 и 2025-04-05. Останній містить усі виправлення з першого, а також виправлення безпеки для пропрієтарних компонентів сторонніх розробників і ядра, які можуть застосовуватися не до всіх Android-пристроїв.