Googleが攻撃に積極的に使用されているAndroidカーネルのゼロデイ脆弱性を修正

Googleは月曜日に2025年2月のセキュリティパッチをリリースし、48の脆弱性に対処しました。その中には、攻撃に積極的に悪用されていたAndroidカーネルに影響を与える重大なゼロデイ脆弱性が含まれています。

CVE-2024-53104として追跡されているこのゼロデイの欠陥は、AndroidカーネルのUSBビデオクラス（UVC）ドライバに影響を与える高危険度の問題として説明されています。

脆弱性とは？

この脆弱性は、AndroidのUSBビデオクラスドライバにおける特権昇格のセキュリティ欠陥であり、悪用されると、認証された攻撃者がターゲットデバイスに対して低複雑性の攻撃で特権を昇格させることができます。

ゼロデイの欠陥はuvc_parse_format関数に存在します。UVC_VS_UNDEFINEDタイプのフレームの不適切な解析により、フレームのバッファサイズが誤って計算される可能性があります。

これにより、uvc_parse_streamingでフレームバッファサイズを計算する際にこのタイプのフレームが考慮されなかったため、境界外書き込みが発生する可能性があります。

これにより、攻撃者が脆弱なAndroidフォンで任意のコードを実行したり、サービス拒否状態を引き起こしたりする可能性があります。

「Linuxカーネルでは、次の脆弱性が解決されました：media: uvcvideo: uvc_parse_formatでUVC_VS_UNDEFINEDタイプのフレームの解析をスキップします。これにより、uvc_parse_streamingでフレームバッファのサイズを計算する際にこのタイプのフレームが考慮されなかったため、境界外書き込みが発生する可能性があります」とアドバイザリーには記載されています。

「CVE-2024-36971が限られたターゲットの悪用を受けている可能性があるという兆候があります」と、検索大手は2025年2月の月次Androidセキュリティアドバイザリーで述べています。

さらに、GoogleはQualcommのWLANコンポーネントにおける重大なセキュリティ欠陥CVE-2024-45569（CVSSスコア9.8）にも対処しました。Qualcommは、この欠陥が無効なフレームコンテンツのためにML IEを解析する際にWLANホスト通信で配列インデックスの不適切な検証によって引き起こされるメモリ破損問題であると述べています。**

リリースされたパッチ

Googleは、2025年2月のセキュリティ更新の一環として、2025-02-01および2025-02-05の2つのパッチセットをリリースしました。

Google Pixelデバイスはセキュリティ更新を即座に受け取りますが、他のメーカーはさまざまなハードウェア構成との互換性を確保するために追加のテストが必要なため、遅延が発生する可能性があります。

したがって、Androidユーザーは、デバイスと自分自身を重大なセキュリティ脅威から守るために、2025-02-01および2025-02-05のセキュリティパッチレベルをできるだけ早くインストールすることを強くお勧めします。