谷歌2025年3月发布的安卓安全更新修复了两个已被积极利用的漏洞

谷歌发布了2025 年 3 月的 Android 安全公告，修复了总共 44 个漏洞，其中包括两个据称已被实际利用的漏洞。

以下列出了两个高危漏洞 -CVE-2024-43093 R11; FRAMework 组件中存在权限提升漏洞，可能导致未经授权访问“Android/data”、“Android/obb”和“Android/sandbox”目录及其各自的子目录。
CVE-2024-50302 R11; linux 内核的 HID USB 组件中存在权限提升漏洞，攻击者可以通过精心构造的 HID 报告将未初始化的内核内存泄露给本地攻击者。

值得注意的是，CVE-2024-43093 漏洞此前已被谷歌在其 2024 年 11 月的安全公告中列为已被恶意利用的漏洞。目前尚不清楚是什么原因促使这家科技巨头再次发布该漏洞警报。

当被问及此事时，谷歌告诉 Hacker News，他们已经发布了针对该问题的更新修复程序，并且该问题已移至 3 月份的公告中。

另一方面，CVE-2024-50302 是CellebrITe 设计的零日漏洞利用程序中串联的三个漏洞之一，该程序于 2024 年 12 月入侵了一名塞尔维亚青年活动家的安卓手机。

该漏洞利用涉及使用 CVE-2024-53104、CVE-2024-53197 和 CVE-2024-50302 来获取更高的权限，并可能部署名为 NoviSpy 的 Android 间谍软件。

这三个漏洞都存在于 linux 内核中，并已于去年年底修复。CVE-2024-53104 漏洞已于上个月由谷歌在 Android 系统中修复。

谷歌在其公告中承认，CVE-2024-43093 和 CVE-2024-50302 都已遭受“有限的、有针对性的利用”。

这家位于山景城的公司发布了两个安全补丁级别，分别是 2025-03-01 和 2025-03-05，以便让 Android 合作伙伴能够更灵活地更快地解决所有 Android 设备中类似的漏洞。