В понеделник Google обяви поправки на повече от 40 уязвимости в Android, като предупреди, че два от проблемите се използват активно в дивата природа.
Експлоатираните пропуски включват CVE-2024-43093 – заобикаляне на филтъра за пътя на файла в компонента Framework, което може да доведе до повишаване на привилегиите, и CVE-2024-50302 – проблем с нулевото инициализиране на буфера за отчети в ядрото на Linux, който може да доведе до изтичане на памет.
В бюлетина за сигурност на Google за Android от март 2025 г. се предупреждава, че „има индикации“, че тези дефекти в сигурността „може да са обект на ограничена, целенасочена експлоатация“, без да се предоставя допълнителна информация за наблюдаваните атаки.
Това е вторият път, в който Google предупреждава, че CVE-2024-43093 се експлоатира в дивата природа, без да споделя допълнителни подробности, след като пусна поправки за него като част от актуализацията на Android от ноември 2024 г.
Според неотдавнашен доклад на Amnesty International CVE-2024-50302 вероятно е бил използван като нулев ден от мобилните инструменти за криминалистика на Cellebrite, за да се заобиколи заключващият екран на телефона с Android на сръбски студент активист.
Първата част на актуализацията на Android този месец, която пристига на устройствата като ниво на кръпка за сигурност 2025-03-01, съдържа поправки за 30 уязвимости: 9 в Framework и 21 в System.
От бъговете, разрешени в System, 10 са с критична сериозност, включително осем, които могат да доведат до отдалечено изпълнение на код. Останалите две могат да бъдат използвани за повишаване на привилегиите и съответно за предизвикване на отказ на услуга (DoS).
„Най-сериозният от тези проблеми е критична уязвимост на сигурността в компонента System, която може да доведе до отдалечено изпълнение на код, без да са необходими допълнителни привилегии за изпълнение“, отбелязва Google.
Втората част на актуализацията пристига на устройствата като ниво на кръпката за сигурност 2025-03-05, като адресира всички горепосочени недостатъци, уязвимостите, разрешени с предишни актуализации, и 13 допълнителни дефекта в сигурността в компонентите Kernel, MediaTek и Qualcomm.
В понеделник Google публикува и бюлетин за сигурност на операционната система Android Wear OS, в който подробно са описани два дефекта в сигурността. Актуализирането на устройствата до ниво на кръпката за сигурност 2025-03-01 разрешава и уязвимостите, поправени в Android този месец.
Въпреки че този месец не бяха публикувани пачове за сигурност на Android Automotive OS, на потребителите се препоръчва да актуализират до ниво на пач за сигурност 2025-03-01, което съдържа поправките в Android от този месец.
