Google, Android’in Nisan 2025 güvenlik güncellemesinde, hedeflenen saldırılarda kullanılan iki sıfır günü de dahil olmak üzere 62 güvenlik açığı için yamalar yayınladı.
Linux çekirdeğinin ALSA cihazları için USB-Audio şoföründeki yüksek aralıklı bir ayrıcalık artış güvenlik açığı (CVE-2024-53197), sıfırlık bir ayrıcalık artış güvenlik açığı (CVE-2024-53197), sıfır gününün küstah bir zincirinin bir parçası olarak, sıfırlık dijital zincirinin bir parçası olarak, göz ardı edilen Android cihazların kilidini açacak şekilde kullanıldığı bildirildi.
Şubat ayında yamalı bir USB video sınıfı sıfır gün (CVE-2024-53104) ve geçen ay yamalanan bir insan arayüz cihazları (CVE-2024-53104) içeren bu istismar zinciri, Uluslararası Af Örgütü’nün güvenlik laboratuvarında, 2024’ün ortasında güvenlik laboratuvarı tarafından keşfedilirken, serikler tarafından ortaya çıktı.
Google, Şubat ayında BleepingComputer’a bu düzeltmelerin Ocak ayında OEM ortaklarıyla paylaşıldığını söyledi.
Bir Google sözcüsü BleepingComputer’a verdiği demeçte, “Bu raporlardan önce bu güvenlik açıklarının ve sömürü riskinin farkındaydık ve android için derhal düzeltmeler geliştirdik. Düzeltmeler 18 Ocak’ta bir ortak danışmanlıkta OEM ortaklarıyla paylaşıldı.” Dedi.
Bu ayın ikinci sıfır gün sabiti (CVE-2024-53150), yerel saldırganların kullanıcı etkileşimi olmadan savunmasız cihazlar hakkında hassas bilgilere erişmesini sağlayan sınır dışı okunan bir zayıflığın neden olduğu bir Android çekirdek bilgisi açıklama güvenlik açığıdır.
Mart 2025 Android güvenlik güncellemeleri, çoğu yüksek oranda ayrıcalık kusurları olan 60 diğer güvenlik açıklarını da yamalıyor.
Google, 2025-04-01 ve 2025-04-05 güvenlik yaması seviyesi olmak üzere iki set güvenlik yaması yayınladı. İkincisi, tüm Android cihazları için geçerli olmayabilen kapalı kaynaklı üçüncü taraf ve çekirdek alt bileşenleri için ilk parti ve güvenlik yamalarından gelen tüm düzeltmeleri sağlar.
Google Pixel cihazları bu güncellemeleri derhal alırken, diğer satıcıların özel donanım yapılandırmaları için güvenlik yamalarını test etmek ve ince ayar yapmak genellikle daha uzun sürer.
Kasım 2024’te Google, ilk olarak Ekim 2024’te Google Project Zero tarafından kullanıldığında etiketlenen ve aktivistlere, gazetecilere ve protestoculara ait Android cihazlara karşı Sırp hükümeti tarafından Sırp hükümeti tarafından kullanılan başka bir Android Zero Day’i (CVE-2024-43047) düzeltti.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.