行業新聞與部落格

谷歌釋出的最新 Android 安全更新已修復 62 個漏洞，其中包括兩個正在被積極利用的零日漏洞。

這些高嚴重性問題（編號為 CVE-2024-53150 和 CVE-2024-53197）是在 Linux 核心的 USB 子元件中發現的，可用於提升許可權或訪問敏感資訊，而無需使用者互動。

CVE-2024-53197 是一個許可權提升漏洞，而 CVE-2024-53150 是一個越界讀取漏洞，可能導致資料洩露。兩者的 CVSS 評分均為 7.8，並於 2024 年 12 月在 Linux 核心中初步修復。

谷歌證實，這兩個問題可能已被利用來進行“有限的、有針對性的”攻擊。

Jamf 公司歐洲、中東和印度地區高階安全戰略經理亞當·博因頓 (Adam Boynton) 表示：“這兩個缺陷都出在核心上，核心是作業系統的核心部分，充當著硬體和軟體之間的中介。”

“CVE-2024-53150 允許攻擊者無需使用者互動即可訪問敏感資訊，而 CVE-2024-53197 如果被攻擊者利用，則可能導致記憶體損壞甚至許可權提升。”

與 Cellebrite 漏洞相關的漏洞

已修補的漏洞之一 CVE-2024-53197 與以色列數字取證公司 Cellebrite 使用的漏洞鏈有關。 

據國際特赦組織稱，Cellebrite 利用該漏洞以及 CVE-2024-53104 和 CVE-2024-50302 於 2024 年 12 月獲取了一名塞爾維亞活動人士的手機訪問許可權。

所有這三個漏洞均已透過最近的 Android 更新得到解決。

谷歌沒有分享有關 CVE-2024-53150 實際使用情況的具體細節，但研究人員認為它可能是同一漏洞利用鏈的一部分。

以安全為重點的 GrapheneOS 專案也指出了這些漏洞之間的相似之處。

“這些 CVE 現已公開，”Boynton 補充道。“更多攻擊者可能會瞄準尚未更新的裝置。”

修復了另外 60 個漏洞

除了這兩個零日漏洞外，谷歌 2025 年 4 月的更新還修復了 Android 各個元件中的其他 60 個漏洞。這些包括：

• 2025-04-01 補丁級別解決了 28 個問題，涵蓋系統和框架
• 2025-04-05 補丁級別新增 31 個漏洞，針對核心、高通、聯發科和其他第三方元件

本週期內沒有針對 Automotive OS 或 Wear OS 的新補丁

博因頓表示：“目前有兩個漏洞正被網路犯罪分子利用，Android 使用者必須立即更新其裝置。”

“儘管這是一次有針對性的攻擊，但我們強烈建議所有使用者更新他們的 Android 作業系統。”

Pixel 裝置將首先收到更新，三星、一加和摩托羅拉等其他製造商預計將很快跟進。谷歌表示，這些補丁已於 1 月分發給合作伙伴。