Ранее в этой же эксплоит-цепочке были выявлены и устранены другие уязвимости: в USB Video Class (CVE-2024-53104), закрытая в февральском обновлении, и в устройствах ввода HID (CVE-2024-50302), устраненная в марте. Обнаружение всей цепочки эксплойтов стало результатом работы специалистов Security Lab организации Amnesty International, которые анализировали логи устройств, разблокированных сербской полицией.
В Google заявили, что были осведомлены об этих уязвимостях заблаговременно и предоставили исправления производителям устройств еще в январе. По словам представителя компании, соответствующие обновления были направлены OEM-партнерам 18 января в рамках специального уведомления.
Вторая уязвимость «нулевого дня», закрытая в апрельском обновлении (CVE-2024-53150), связана с утечкой конфиденциальной информации из ядра Android. Она обусловлена ошибкой чтения за пределами выделенной области памяти и позволяет локальному злоумышленнику получить доступ к чувствительным данным на устройстве без какого-либо взаимодействия с пользователем.
Помимо устранения «нулевых дней», апрельское обновление безопасности Android включает исправления еще 60 уязвимостей. Большинство из них также классифицируются как уязвимости с высоким уровнем серьезности и связаны с возможностью повышения привилегий.
Vzglyad.az
Читайте актуальные новости и аналитические статьи в Telegram-канале «Vzglyad.az» https://t.me/Vzqlyad
Тэги:
