谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞

谷歌近日发布了2025年4月Android安全更新，共修复62个安全漏洞。其中尤以两个已被实际利用的零日漏洞最为引人注目，暴露了Android系统面临的严峻安全挑战。

技术分析显示，第一个高危零日漏洞CVE-2024-53197存在于Linux内核的ALSA设备USB音频驱动程序中，属于权限提升类漏洞。令人担忧的是，该漏洞已被证实应用于塞尔维亚当局的数字取证行动中，作为以色列Cellebrite公司开发的漏洞利用链的核心组件。国际特赦组织安全实验室在分析塞尔维亚警方设备时发现，这一漏洞利用链还包含了此前已修复的CVE-2024-53104（USB视频类漏洞）和CVE-2024-50302（人机接口设备漏洞）。

第二个零日漏洞CVE-2024-53150则是Android内核的信息泄露漏洞，其危害性在于攻击者可在无需用户交互的情况下，通过越界读取操作获取设备敏感信息。

谷歌安全团队向媒体透露，公司早在1月18日就已将这些漏洞的修复方案分享给OEM合作伙伴。4月更新分为两组安全补丁——2025-04-01和2025-04-05补丁级别，后者包含更全面的修复，涉及闭源第三方组件和内核子系统。

值得注意的是，这并非谷歌首次处理被主动利用的Android漏洞。去年11月修复的CVE-2024-43047同样被塞尔维亚政府用于针对社会活动人士、记者和抗议者的NoviSpy间谍软件攻击。

安全专家指出，Pixel系列设备将优先获得更新，而其他厂商则需要更长时间进行适配测试。考虑到这些漏洞的现实危害，建议所有Android用户尽快检查并安装最新安全补丁。此次更新突显了移动操作系统面临的持续安全挑战，以及供应链各环节协同响应的重要性。

来源：https://www.bleepingcomputer.com/news/security/google-fixes-android-zero-days-exploited-in-attacks-60-other-flaws/