4月7日Google發布本月安卓例行更新,總共修補62個資安漏洞,值得留意的是,他們提及有兩個漏洞CVE-2024-53150、CVE-2024-53197,出現局部、針對特定目標進行濫用的跡象。
上述兩項漏洞最早是去年12月揭露,存在於Linux核心,CVSS風險評分都達到7.8分,屬高風險層級漏洞。
其中,權限提升漏洞CVE-2024-53197特別引起注意,因為這正是傳出去年12月被塞爾維亞警方濫用的其中一項漏洞,揭露此事的國際特赦組織(Amnesty International)指出,當時塞爾維亞警方利用數位鑑識業者Cellebrite的工具,觸發3項零時差漏洞,企圖解鎖社運人士的手機。附帶一提的是,另外兩項被串連的資安漏洞CVE-2024-53104、CVE-2024-50302,Google先後於2月、3月完成修補。
另一項已遭利用的漏洞CVE-2024-53150,存在於USB元件,屬於資訊洩露類型的漏洞,但攻擊者如何運用在實際攻擊行動,有待研究人員進一步公布相關資訊。
