谷歌修复了两个被积极利用的Android漏洞

2025年3月的Android安全更新修复了超过40个漏洞，其中包括两个正在野外攻击中被积极利用的漏洞，分别被追踪为CVE-2024-43093和CVE-2024-50302。

有迹象表明以下漏洞可能正在受到有限的、有针对性的利用。

CVE-2024-43093（CVSS评分为7.8）是Android框架中的一个权限提升漏洞。ExternalStorageProvider.java中的一个缺陷允许绕过文件路径过滤器，该过滤器旨在阻止访问敏感目录，原因是Unicode规范化不当。成功利用此问题可能导致本地权限提升，且无需额外的执行权限。公告指出，利用此漏洞需要用户交互。

CVE-2024-50302（CVSS评分为5.5）是Linux内核中的一个漏洞，通过在分配期间将HID报告缓冲区初始化为零来修复，以防止潜在的内核内存泄漏。

谷歌没有分享有关利用上述漏洞的攻击的详细信息，然而，在2024年，安全实验室向行业合作伙伴提供了Cellebrite零日漏洞利用链的证据，导致谷歌识别出三个漏洞。CVE-2024-53104在2025年2月的Android更新中修复，而CVE-2024-53197和CVE-2024-50302（CVSS评分为5.5）在Linux内核中修复，但尚未在Android中修复。

国际特赦组织透露，CVE-2024-50302漏洞可能被Cellebrite的移动取证工具用于解锁一名塞尔维亚学生活动家的Android手机。

2025年3月的Android安全更新修复了系统组件中的十个关键漏洞，这些漏洞可能导致远程代码执行。

“其中最严重的问题是系统组件中的一个关键安全漏洞，可能导致远程代码执行，且无需额外的执行权限。严重性评估基于利用漏洞可能对受影响设备产生的影响，假设平台和服务缓解措施出于开发目的被关闭或成功绕过。”

原文始发于微信公众号（黑猫安全）：谷歌修复了两个被积极利用的Android漏洞