Google Risolve Sfruttamento Zero-Day del Kernel Android Attivamente Utilizzato Negli Attacchi

Google lunedì ha rilasciato le sue patch di sicurezza di febbraio 2025, che affrontano 48 vulnerabilità, inclusa una vulnerabilità zero-day critica che colpisce il kernel Android e che era attivamente sfruttata negli attacchi.

Tracciata come CVE-2024-53104, la falla zero-day è stata descritta come un problema di alta gravità che colpisce il driver USB Video Class (UVC) del kernel Android.

Qual è la vulnerabilità?

Questa vulnerabilità è un difetto di sicurezza di escalation dei privilegi nel driver USB Video Class di Android, che se sfruttato, può consentire a un attaccante autenticato di elevare i privilegi in attacchi a bassa complessità su dispositivi mirati.

La falla zero-day risiede nella funzione uvc_parse_format. L’analisi impropria dei frame di tipo UVC_VS_UNDEFINED può causare un calcolo errato della dimensione del buffer dei frame.

Questo può portare a scritture fuori limite poiché i frame di questo tipo non sono stati considerati quando si calcolava la dimensione del buffer dei frame in uvc_parse_streaming.

Questo può potenzialmente consentire agli attaccanti di eseguire codice arbitrario su un telefono Android vulnerabile o attivare condizioni di denial-of-service.

“Nel kernel Linux, la seguente vulnerabilità è stata risolta: media: uvcvideo: Salta l’analisi dei frame di tipo UVC_VS_UNDEFINED in uvc_parse_format. Questo può portare a scritture fuori limite poiché i frame di questo tipo non sono stati presi in considerazione quando si calcolava la dimensione del buffer dei frame in uvc_parse_streaming,” si legge nell’avviso.

“Ci sono indicazioni che CVE-2024-36971 possa essere sotto sfruttamento limitato e mirato”, ha notato il gigante della ricerca nel suo avviso mensile sulla sicurezza Android di febbraio 2025.

Inoltre, Google ha affrontato un difetto di sicurezza critico, CVE-2024-45569 (punteggio CVSS di 9.8), nel componente WLAN di Qualcomm. Qualcomm afferma che questo difetto è un problema di corruzione della memoria causato da una Validazione Impropria dell’Indice dell’Array nella Comunicazione Host WLAN durante l’analisi del ML IE a causa di contenuti di frame non validi. **

Patch Rilasciate

Google ha rilasciato due set di patch, i livelli di patch di sicurezza 2025-02-01 e 2025-02-05, come parte degli aggiornamenti di sicurezza di febbraio 2025.

Mentre i dispositivi Google Pixel ricevono aggiornamenti di sicurezza immediatamente, altri produttori potrebbero subire ritardi a causa dei test aggiuntivi necessari per garantire che le patch di sicurezza siano compatibili con varie configurazioni hardware.

Pertanto, si consiglia vivamente agli utenti Android di installare i livelli di patch di sicurezza 2025-02-01 e 2025-02-05 il prima possibile per proteggere i propri dispositivi e se stessi da gravi minacce alla sicurezza.