Google telah mengirimkan tambalan untuk 62 kerentanan, dua di antaranya dikatakan telah dieksploitasi di alam liar.
Dua kerentanan tingkat tinggi tercantum di bawah ini –
- CVE-2024-53150 (Skor CVSS: 7.8)-cacat di luar batas dalam sub-komponen USB kernel yang dapat mengakibatkan pengungkapan informasi
- CVE-2024-53197 (Skor CVSS: 7.8) – cacat eskalasi hak istimewa dalam sub -komponen USB kernel
“Yang paling parah dari masalah ini adalah kerentanan keamanan yang kritis dalam komponen sistem yang dapat menyebabkan eskalasi hak istimewa jarak jauh tanpa hak eksekusi tambahan yang diperlukan,” kata Google dalam buletin keamanan bulanan untuk April 2025. “Interaksi pengguna tidak diperlukan untuk eksploitasi.”
Raksasa teknologi itu juga mengakui bahwa kedua kekurangan itu mungkin telah berada di bawah “eksploitasi yang terbatas dan ditargetkan.”
Perlu dicatat bahwa CVE-2024-53197 berakar pada kernel Linux dan ditambal tahun lalu, bersama CVE-2024-53104 dan CVE-2024-50302. Ketiga kerentanan, per Amnesty International, dikatakan telah dirantai bersama untuk masuk ke ponsel Android aktivis pemuda Serbia pada bulan Desember 2024.
Sementara CVE-2024-53104 ditangani oleh Google pada bulan Februari 2025, CVE-2024-50302 diperbaiki bulan lalu. Dengan pembaruan terbaru, ketiga kerentanan telah diperbaiki, secara efektif menghubungkan jalur eksploitasi.
Saat ini ada detail tentang bagaimana CVE-2024-53150 telah dieksploitasi dalam serangan dunia nyata, oleh siapa, dan siapa yang mungkin menjadi sasaran dalam serangan itu. Pengguna perangkat Android disarankan untuk menerapkan pembaruan saat dan ketika Android Original Equipment Produsen (OEM) melepaskannya.
