В феврале 2025 года обновления безопасности Android устраняют 48 уязвимостей, среди которых значится уязвимость нулевого дня в ядре системы, активно используемая в атаках.
Эта уязвимость с высокой степенью опасности (CVE-2024-53104) представляет собой ошибку повышения привилегий в драйвере USB Video Class ядра Android, что позволяет аутентифицированным локальным злоумышленникам повышать свои привилегии с использованием атак низкой сложности.
Проблема возникает из-за того, что драйвер неправильно обрабатывает кадры типа UVC_VS_UNDEFINED в функции uvc_parse_format. В результате этого неправильно рассчитывается размер буфера кадра, что может привести к выходу за пределы памяти и быть использовано для выполнения произвольного кода или атак с отказом в обслуживании.
Помимо этой активно используемой уязвимости нулевого дня, обновления безопасности Android февраля 2025 года также исправляют критическую уязвимость в компоненте WLAN компании Qualcomm.
Компания Qualcomm описывает эту критическую уязвимость (CVE-2024-45569) как проблему повреждения памяти в прошивке, вызванную недостаточной валидацией индекса массива при обработке ML IE в WLAN-хост-коммуникациях из-за некорректного содержимого кадров.
CVE-2024-45569 может быть использована удалёнными злоумышленниками для выполнения произвольного кода или команд, чтения или изменения памяти, а также для инициирования сбоев в атаках низкой сложности, которые не требуют привилегий или взаимодействия с пользователем.
Уровни безопасности Android
Google выпустила два набора патчей на февраль 2025 года: для уровней безопасности 2025-02-01 и 2025-02-05. Последний набор включает все исправления из первого и дополнительные патчи для закрытых компонентов сторонних разработчиков и ядра, которые могут не применяться ко всем устройствам Android.
Производители могут отдать приоритет более раннему набору патчей для более быстрой реализации обновлений, что не обязательно указывает на повышенный риск эксплуатации уязвимостей.
Устройства Google Pixel получат обновления немедленно, в то время как другие производители часто требуют дополнительного времени для тестирования и настройки патчей под различные аппаратные конфигурации.
В ноябре 2024 года Google исправила две другие активно используемые уязвимости нулевого дня Android (CVE-2024-43047 и CVE-2024-43093), которые также были отмечены как эксплуатируемые в ограниченных целевых атаках.
CVE-2024-43047 впервые была помечена как активно эксплуатируемая в октябре 2024 года проектом Google Zero. Эта уязвимость была использована правительством Сербии в атаках с использованием шпионского ПО NoviSpy для компрометации устройств Android активистов, журналистов и протестующих.
источник
Эта уязвимость с высокой степенью опасности (CVE-2024-53104) представляет собой ошибку повышения привилегий в драйвере USB Video Class ядра Android, что позволяет аутентифицированным локальным злоумышленникам повышать свои привилегии с использованием атак низкой сложности.
Проблема возникает из-за того, что драйвер неправильно обрабатывает кадры типа UVC_VS_UNDEFINED в функции uvc_parse_format. В результате этого неправильно рассчитывается размер буфера кадра, что может привести к выходу за пределы памяти и быть использовано для выполнения произвольного кода или атак с отказом в обслуживании.
Помимо этой активно используемой уязвимости нулевого дня, обновления безопасности Android февраля 2025 года также исправляют критическую уязвимость в компоненте WLAN компании Qualcomm.
Компания Qualcomm описывает эту критическую уязвимость (CVE-2024-45569) как проблему повреждения памяти в прошивке, вызванную недостаточной валидацией индекса массива при обработке ML IE в WLAN-хост-коммуникациях из-за некорректного содержимого кадров.
CVE-2024-45569 может быть использована удалёнными злоумышленниками для выполнения произвольного кода или команд, чтения или изменения памяти, а также для инициирования сбоев в атаках низкой сложности, которые не требуют привилегий или взаимодействия с пользователем.
Уровни безопасности Android
Google выпустила два набора патчей на февраль 2025 года: для уровней безопасности 2025-02-01 и 2025-02-05. Последний набор включает все исправления из первого и дополнительные патчи для закрытых компонентов сторонних разработчиков и ядра, которые могут не применяться ко всем устройствам Android.
Производители могут отдать приоритет более раннему набору патчей для более быстрой реализации обновлений, что не обязательно указывает на повышенный риск эксплуатации уязвимостей.
Устройства Google Pixel получат обновления немедленно, в то время как другие производители часто требуют дополнительного времени для тестирования и настройки патчей под различные аппаратные конфигурации.
В ноябре 2024 года Google исправила две другие активно используемые уязвимости нулевого дня Android (CVE-2024-43047 и CVE-2024-43093), которые также были отмечены как эксплуатируемые в ограниченных целевых атаках.
CVE-2024-43047 впервые была помечена как активно эксплуатируемая в октябре 2024 года проектом Google Zero. Эта уязвимость была использована правительством Сербии в атаках с использованием шпионского ПО NoviSpy для компрометации устройств Android активистов, журналистов и протестующих.
источник