O Google liberou correções para 62 vulnerabilidades, duas das quais, segundo a empresa, foram exploradas "in the wild" (no mundo real).
As duas vulnerabilidades de alta gravidade estão listadas a seguir:
-
CVE-2024-53150
(pontuação CVSS: 7.8) - Um defeito de out-of-bounds no subcomponente USB do Kernel que pode resultar em divulgação de informações
-
CVE-2024-53197
(pontuação CVSS: 7.8) - Uma falha de escalonamento de privilégio no subcomponente USB do Kernel
"A mais grave dessas questões é uma vulnerabilidade crítica de segurança no componente do Sistema que pode levar a um escalonamento de privilégio remoto sem necessidade de privilégios de execução adicionais," disse o Google em seu boletim de segurança mensal de abril de 2025.
Não é necessário interação do usuário para a exploração.
A gigante da tecnologia também reconheceu que ambas as deficiências podem ter sido objeto de "exploração direcionada limitada".
Vale ressaltar que a
CVE-2024-53197
está enraizada no kernel Linux e foi corrigida no ano passado, juntamente com a
CVE-2024-53104
e a
CVE-2024-50302
.
Todas as três vulnerabilidades, segundo a Anistia Internacional, teriam sido encadeadas para invadir o telefone Android de um ativista juvenil sérvio em dezembro de 2024.
Enquanto a
CVE-2024-53104
foi abordada pelo Google em fevereiro de 2025, a
CVE-2024-50302
foi remediada no mês passado.
Com a última atualização, todas as três vulnerabilidades foram corrigidas, fechando efetivamente o caminho de exploração.
Atualmente, não há detalhes sobre como a
CVE-2024-53150
foi explorada em ataques reais, por quem e quem pode ter sido alvo desses ataques.
Aconselha-se que os usuários de dispositivos Android apliquem as atualizações assim que os fabricantes originais de equipamento (OEMs) do Android as liberarem.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...