گوگل، اندروید را برای اصلاح دو آسیب‌پذیری مهم به‌روزرسانی کرد!

گوگل به‌تازگی پچ‌هایی را برای ۶۲ آسیب‌پذیری امنیتی منتشر کرده که به گفته این شرکت، دو مورد از آن‌ها در حملات واقعی مورد سوءاستفاده قرار گرفته‌اند.

این دو آسیب‌پذیری با شدت بالا عبارت‌اند از:

• CVE-2024-53150 (امتیاز CVSS: ۷.۸): نقصی از نوع دسترسی خارج از محدوده (out-of-bounds) در زیرکامپوننت USB در کرنل که می‌تواند منجر به افشای اطلاعات شود.
• CVE-2024-53197 (امتیاز CVSS: ۷.۸): آسیب‌پذیری ارتقاء دسترسی در همان زیرکامپوننت USB در کرنل

گوگل در بولتن امنیتی ماه آوریل ۲۰۲۵ خود اعلام کرده‌است که شدیدترین آسیب‌پذیری‌ها، نقصی بحرانی در کامپوننت سیستم است که می‌تواند منجر به ارتقاء دسترسی از راه دور شود بدون آنکه نیاز به مجوزهای اجرایی اضافی باشد. برای اکسپلویت این نقص، هیچگونه تعامل کاربر نیاز نیست. گوگل همچنین تأیید کرده که هر دو نقص مذکور ممکن است تحت «اکسپلویت محدود و هدفمند» قرار گرفته باشند.

قابل‌توجه است که ریشه آسیب‌پذیری CVE-2024-53197 در کرنل لینوکس است و این نقص به همراه CVE-2024-53104 و CVE-2024-50302 پیش‌تر در سال گذشته پچ شده‌اند. طبق گزارش سازمان عفو بین‌الملل، این سه آسیب‌پذیری به‌صورت زنجیروار در کنار هم مورد استفاده قرار گرفته‌اند تا به گوشی اندرویدی یکی از فعالان جوان اهل صربستان در دسامبر ۲۰۲۴ نفوذ شود. با انتشار به‌روزرسانی اخیر، هر سه آسیب‌پذیری مذکور پچ شده‌اند و مسیر استفاده از این زنجیره حمله بسته شده است.

در حال حاضر، جزئیاتی درباره اینکه آسیب‌پذیری CVE-2024-53150 در چه حملاتی و توسط چه کسانی مورد سوءاستفاده قرار گرفته و هدف چه کسانی بوده‌اند، منتشر نشده است.

به کاربران دستگاه‌های اندرویدی توصیه می‌شود که به‌روزرسانی‌ها را به‌محض انتشار توسط سازندگان اصلی دستگاه‌ها (OEMs) نصب کنند.

منابع: