CVE-2024-53104: Google затваря критичен 0day бъг в Android
Пачът отстранява и десетки скрити закани, за които може би не сте и подозирали.
Февруарската актуализация на сигурността на Android от 2025 година отстранява 48 уязвимости, в това число интензивно експлоатиран нулев ден в ядрото на системата. Най-голямата опасност е уязвимостта CVE-2024-53104, открита в драйвера USB Video Class (UVC) в ядрото на Android.
Бъгът е обвързван с неправилното анализиране на фрагментите с формат UVC_VS_UNDEFINED във функционалността uvc_parse_format, което води до погрешно пресмятане размера на буфера. Това може да докара до излизане отвън границите на паметта, а оттова и до случайно осъществяване на код или офанзиви за отвод на услуга (DoS). Нападателят би трябвало да има местен достъп до устройството, с цел да го употребява, само че сложността на офанзивата е ниска, което я прави изключително рискова.
В допълнение към нулевия ден, пачът отстранява сериозната накърнимост CVE-2024-45569 във WLAN съставния елемент на Qualcomm. Грешката е обвързвана с неправилното валидиране на показателите на масивите по време на обработката на ML IE в безжична връзка, което може да докара до нарушение работата на паметта във фърмуера.
Уязвимостта може да бъде употребена отдалечено, без да са нужни права за достъп или взаимоотношение с потребителя, което я прави изключително привлекателна за нападателите. Възможните последици включват осъществяване на случаен код, четене и смяна на данни в паметта и деактивиране на устройството.
Актуализацията на сигурността на Android включва два комплекта кръпки: 2025-02-01 и 2025-02-05. Първият е ориентиран към главните уязвимости, а вторият съдържа спомагателни ремонти за детайлите със затворен код и ядрото, които може да не важат за всички устройства. Производителите могат да популяризират актуализациите на стадии, а устройствата Гугъл Pixel са измежду първите, които получават корекциите, до момента в който други компании ги тестват на своя личен хардуер.
Това не е първият път, когато интензивно употребявани уязвимости в Android се закърпват през последните месеци. През ноември 2024 година Гугъл поправя още две уязвимости от вида „ нулев ден “ – CVE-2024-43047 и CVE-2024-43093. Едната от тях беше употребена от сръбските управляващи за инсталиране на шпионския програмен продукт NoviSpy на устройствата на деятели и публицисти.
