Google закрыла 62 уязвимости в Android, включая две активно эксплуатируемые

Екатерина Быстрова 08 Апреля 2025 - 17:38

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

Google закрыла 62 уязвимости в Android, включая две активно эксплуатируемые

С выходом апрельских патчей для мобильной операционной системы Android Google устранила целых 62 уязвимости. Среди них — две бреши нулевого дня, которые уже использовались в реальных атаках.

Первая 0-day — CVE-2024-53197, довольно серьёзная уязвимость повышения привилегий в драйвере USB-аудио для ALSA в ядре Linux. По данным Amnesty International, именно её использовали сербские власти для взлома конфискованных Android-устройств.

Атаки проводились с помощью эксплойт-цепочки, разработанной израильской компанией Cellebrite, специализирующейся на цифровой криминалистике.

Что ещё было в этой цепочке:

CVE-2024-53104 — уязвимость в USB Video Class (исправлена в феврале),
CVE-2024-50302 — уязвимость в устройствах ввода Human Interface Devices (залатана в марте).

Исследователи обнаружили дыры ещё в середине 2024 года, анализируя журналы устройств, разблокированных полицией. Google, кстати, знала об этих уязвимостях до публикации отчётов — и ещё 18 января отправила патчи OEM-партнёрам, чтобы те могли подготовиться заранее.

Вторая «нулёвка», исправленная в апреле — CVE-2024-53150, связана с утечкой информации из ядра Android. Из-за ошибки чтения за пределами границ локальный атакующий мог получить доступ к конфиденциальным данным на устройстве без участия пользователя.

Кроме этих двух, обновление закрыло ещё 60 багов, в основном связанных с повышением привилегий.

Google по традиции выпустила два уровня патчей:

2025-04-01 — базовый набор;
2025-04-05 — включает в себя всё из первого + обновления для закрытого кода (в том числе драйверов и компонентов ядра). Правда, не все устройства получают полный пакет — это зависит от производителя.

Обладатели Pixel получают апдейты сразу, остальные — как повезёт: производители любят потянуть время на тесты и оптимизацию под железо.

И ещё: в ноябре прошлого года Google уже закрывала похожую серьёзную дыру (CVE-2024-43047), которую также использовали сербские спецслужбы в шпионской кампании NoviSpy против журналистов, активистов и протестующих.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Марта 2026 - 21:22

Домашние пользователи

В Краснодаре ребёнка отказались записывать к врачу без MAX

В Краснодаре местная жительница столкнулась с довольно странной ситуацией: в детской поликлинике ей фактически отказали в обычной записи ребёнка к врачу и заявили, что теперь сделать это можно только через мессенджер MAX. По словам женщины, ещё в феврале она пыталась записать сына к офтальмологу и хирургу через «Госуслуги» в детскую поликлинику № 27 на проспекте Знаменского, 3.

Но через сервис записаться не получилось — свободных талонов не было. Об этой истории 24 марта сообщил телеграм-канал Gmrlive.

Тогда её муж поехал в поликлинику лично, чтобы попробовать взять талон через терминал или оформить запись через регистратуру. Но там, как утверждается, в услуге отказали. Сотрудники медучреждения сослались на некое новое распоряжение, по которому записываться к врачам теперь якобы нужно только через MAX.

Такой ответ семью, мягко говоря, не устроил. Женщина направила обращение в Министерство здравоохранения Краснодарского края и попросила разъяснить, на каком основании ей отказали в записи и что делать пациентам, у которых мессенджер MAX вообще не установлен.

После этого ситуация довольно быстро начала меняться. Сначала из поликлиники ей позвонили и предложили записаться по телефону. Заодно пообещали починить терминал, через который должны выдаваться талоны.

А позже, 16 марта, пришёл и официальный ответ из краевого Минздрава. В письме сообщили, что с медицинским персоналом уже провели рабочее совещание по поводу исполнения их обязанностей. Кроме того, в ответе перечислили доступные способы записи к врачу — и мессенджера MAX среди них не оказалось.

Также женщине направили номер горячей линии и контакты главного врача, чтобы в случае повторения подобных ситуаций можно было обращаться напрямую.

В итоге история получилась довольно показательной. На словах пациентке сначала попытались представить MAX как едва ли не обязательный канал записи к врачу. Но после жалобы быстро выяснилось, что официально такого требования нет, а записаться к врачу по-прежнему можно и другими способами.

Напомним, мессенджер MAX с 18 марта 2026 года получил статус социальной сети. Это важно прежде всего для владельцев крупных каналов: теперь страницы и каналы с аудиторией более 10 тысяч пользователей смогут работать в рамках уже действующих правил Роскомнадзора для соцсетей и получать в MAX маркировку A+ после регистрации через госреестр.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!