Google已发布了2025年3月的Android Security公告,总共解决了44个漏洞,其中两个被积极利用:CVE-2024-43093和CVE-2024-50302。
漏洞的详细信息
CVE-2024-43093是框架组件中的特权升级缺陷,可以导致对“ Android/Data”,“ Android/obb”和“ Android/Sandbox”目录的未经授权访问,包括其子目录。第二个漏洞CVE-2024-50302影响了Linux内核的HID USB组件,并可能允许本地攻击者通过专门精心设计的HID报告泄漏非初始化的内核内存。
Google先前已确定 CVE-2024-43093 在2024年11月的安全咨询中,作为野外的积极利用。再次发布警报的原因尚不清楚。 CVE-2024-50302是Cellebrite在2024年12月折衷属于塞尔维亚青年活动家的Android手机的零日漏洞的一部分。这种利用利用了三种漏洞 – CVE-2024-53104,CVE-2024-53197,以及CVE-2024-53104 CVE-2024-50302– 获得提升特权并部署称为Novispy的间谍软件。去年年底,Google对所有三个漏洞进行了修补,而CVE-2024-53104最近就解决了。
Google在其安全咨询中指出,CVE-2024-43093和CVE-2024-50302都受到“有限的,有针对性的剥削”的约束。该公司提供了两个安全补丁级别,分别是2025-03-01和2025-03-05,使Android Partners可以更快地解决某些漏洞。
尽管两种漏洞的修复程序都将在几天之内用于像素设备,但三星的三月安全版本仅包括CVE-2024-43093的修复程序。该补丁再次发出,但是本月重新出现的原因尚不清楚。鉴于CVE-2024-50302的性质,它可能会影响银河设备,但三星的更新通常会延迟推出。
由于这些脆弱性,预计美国网络国防机构将强制联邦雇员更新其Android设备或停止使用它们,尤其是鉴于最近在欧洲发生的攻击。 Google的更新需要进行大量关键系统修复,其中许多与运行Android 15的设备相关。大多数像素将受这些更新的影响,而仅新的Galaxy S25和一些系列手机当前在三星的生态系统中运行Android 15。三星的更新将包含11个关键修复程序。
鉴于Android 15更新时间表中的显着滞后,消息人士表明,三星可能会绕过一个UI 7.1和7.1.1,直接启动一个UI 8.0,AS Android 16(Android 16)当前将在Pixel设备上进行Beta测试。
其他更新和功能
2025年3月的更新还增强了Google Play Services对25.08版的服务,从而提高了年轻用户的登录可靠性。更改Google Wallet将将其可用性扩展到其他国家 /地区,从而使更多用户能够访问电话上的数字支付方法并佩戴OS设备。
Google Play商店更新介绍了新功能,包括游戏类型主题页面,以更轻松地探索不同的游戏类型以及简化应用程序安装过程的新安装栏功能。
Google Play系统2025年3月更新可能需要时间才能吸引所有用户,包括三星Galaxy电话用户。建议及时安装更新以减轻潜在的安全风险。
特色图片来源: KeremGülen/意识形态图
