CVE-2024-53104: Google закрывает критическую 0-дневную ошибку в Android
Патч также устраняет десятки скрытых угроз, которые вы, возможно, не подозревали.
Февральское обновление безопасности Android с 2025 года устраняет 48 уязвимостей, в том числе активно эксплуатирует нулевой день в ядре системы. Самая большая угроза — это уязвимость CVE-2024-53104Найдено в драйвере USB -видео класса (UVC) в Android Core.
Ошибка связана с ненадлежащим анализом кадров UVC_VS_VS_UNDEFIND в функции UVC_PARS_FORMAT, что приводит к неправильному расчету размера буфера. Это может привести к выходу за пределы памяти и, следовательно, к произвольному выполнению кода или атак атак (DOS). Злоумышленник должен иметь локальный доступ к устройству, чтобы использовать его, но сложность атаки низкая, что делает его особенно опасным.
В дополнение к нулевому дню, патч устраняет критическую уязвимость CVE-2024-45569 В компоненте Qualcomm WLAN. Ошибка связана с неправильной проверкой массивов массивов при обработке ML IE в беспроводном соединении, что может привести к нарушению памяти в прошивке.
Уязвимость может использоваться удаленно без необходимости доступа или взаимодействия с пользователем, что делает ее особенно привлекательным для злоумышленниковС Возможные последствия включают реализацию любого кода, чтение и изменение данных в памяти и отключение устройства.
Обновление Android Security включает в себя два набора исправлений: 2025-02-01 и 2025-02-05. Первый предназначен для основных уязвимостей, а второй содержит дополнительный ремонт для закрытого кода и ядра, которые могут не применяться ко всем устройствам. Производители могут распространять обновления на этапы, а устройства Google Pixel являются одними из первых, кто получает коррективы, в то время как другие компании тестируют их на собственном оборудовании.
Это не первый раз, когда вы активно используете уязвимости Android в последние месяцы. В ноябре 2024 года Google исправил еще два уязвимостей с нулевым днем CVE-2024-43047 и CVE-2024-43093. Один из них был использован сербскими властями для установки новичка на устройствах активистов и журналистов.
