Исправлены активно используемые уязвимости в Android в последнем обновлении безопасности

В новом уведомлении Google подробно описаны 62 уязвимости, некоторые из которых считаются критическими, и для эксплуатации некоторых из них не требуется взаимодействия пользователя. Как минимум два дефекта активно использовались злоумышленниками.

Google выпустил обновление для Android, которое устраняет более 60 уязвимостей. Среди них есть две, которые активно используются в дикой природе, и несколько с критическим уровнем серьезности. В уведомлении о безопасности, опубликованном на блоге Android, Google заявил, что есть признаки того, что два дефекта «могут подвергаться ограниченной, целенаправленной эксплуатации». Уязвимости отслеживаются как CVE-2024-53150 и CVE-2024-53197 и теперь исправлены. Согласно Amnesty International, последняя использовалась в конце прошлого года для взлома Android-смартфона сербского молодежного активиста после того, как она была связана с двумя дополнительными ошибками.

В Сербии протесты против правительства продолжаются уже месяцы после обрушения навеса на железнодорожной станции, в результате которого погибло 16 человек. Студенты страны, возглавляющие протесты, потребовали обнародования всех документов, связанных с реконструкцией железнодорожной станции Нови-Сад. Они считают, что обнародование этих документов прольет свет на любую коррупцию или халатность, имевшую место в проекте.

В общей сложности Google исправил 62 дефекта. Хотя нет никаких доказательств того, что остальные используются злоумышленниками в дикой природе, все же есть несколько опасных уязвимостей, которые требуют быстрого устранения.

«Самой серьезной из этих проблем является критическая уязвимость безопасности в компоненте системы, которая может привести к удаленному повышению привилегий без необходимости дополнительных привилегий выполнения», – предупредил Google. «Для эксплуатации не требуется взаимодействия пользователя. Оценка серьезности основана на предполагаемом эффекте эксплуатации уязвимости для пострадавшего устройства, при условии, что платформенные и сервисные меры смягчения отключены в целях разработки или успешно обойдены».

В общей сложности три дефекта были классифицированы как критические: CVE-2025-22429, CVE-2025-26416 и CVE-2025-22423.