Google a patchs expédiés Pour 62 vulnérabilités, dont deux il a déclaré avoir été exploitée dans la nature.
Les deux vulnérabilités de haute sévérité sont répertoriées ci-dessous –
- CVE-2024-53150 (Score CVSS: 7.8) – Un défaut hors limites dans le sous-composant USB du noyau qui pourrait entraîner une divulgation d’informations
- CVE-2024-53197 (Score CVSS: 7.8) – Un défaut d’escalade du privilège dans le sous-composant USB du noyau
“Le plus grave de ces problèmes est une vulnérabilité de sécurité essentielle dans le composant système qui pourrait conduire à une escalade à distance de privilèges sans aucun privilège d’exécution supplémentaire”, a déclaré Google dans son bulletin de sécurité mensuel pour avril 2025. “L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation.”
Le géant de la technologie a également reconnu que les deux lacunes pourraient avoir subi une “exploitation limitée et ciblée”.
Il convient de noter que CVE-2024-53197 est enraciné dans le noyau Linux et a été corrigé l’année dernière, aux côtés de CVE-2024-53104 et CVE-2024-50302. Les trois vulnérabilités, par Amnesty International, auraient été enchaînées pour se lancer dans le téléphone Android d’un militant des jeunes serbes en décembre 2024.
Alors que le CVE-2024-53104 a été abordé par Google en février 2025, le CVE-2024-50302 a été corrigé le mois dernier. Avec la dernière mise à jour, les trois vulnérabilités ont été corrigées, branchant efficacement le chemin d’exploit.
Il y a actuellement des détails sur la façon dont le CVE-2024-53150 a été exploité dans les attaques du monde réel, par qui, et qui peut avoir été ciblé dans ces attaques. Les utilisateurs des appareils Android sont invités à appliquer les mises à jour au fur et à mesure que les fabricants d’équipements d’origine Android les publient.


