Google ha enviado parches para 62 vulnerabilidades, dos de las cuales dijo que han sido explotadas en la naturaleza.
Las dos vulnerabilidades de alta severidad se enumeran a continuación –
- CVE-2024-53150 (Puntuación CVSS: 7.8)-Un defecto fuera de los límites en el subcomponente USB del núcleo que podría resultar en la divulgación de información
- CVE-2024-53197 (Puntuación de CVSS: 7.8) – Un defecto de escalada de privilegios en el subconperente USB del núcleo
«El más severo de estos problemas es una vulnerabilidad crítica de seguridad en el componente del sistema que podría conducir a una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales», dijo Google en su boletín de seguridad mensual para abril de 2025 «.» No es necesaria la interacción del usuario para la explotación «.
El gigante tecnológico también reconoció que ambas deficiencias pueden haber sido «explotadores limitados y específicos».
Vale la pena señalar que CVE-2024-53197 está enraizado en el núcleo de Linux y fue parcheado el año pasado, junto con CVE-2024-53104 y CVE-2024-50302. Se dice que las tres vulnerabilidades, según Amnistía Internacional, fueron encadenadas para entrar en el teléfono Android de un activista juvenil serbio en diciembre de 2024.
Mientras que Google abordó CVE-2024-53104 en Google en febrero de 2025, CVE-2024-50302 fue remediado el mes pasado. Con la última actualización, las tres vulnerabilidades se han solucionado, conectando efectivamente la ruta de exploit.
Actualmente hay detalles sobre cómo CVE-2024-53150 ha sido explotado en ataques del mundo real, por quién y quién puede haber sido atacado en esos ataques. Se recomienda a los usuarios de dispositivos Android que apliquen las actualizaciones cuando los fabricantes de equipos originales de Android (OEM) las lanzan.