Google устраняет уязвимость нулевого дня в ядре Android, активно используемую в атаках

Google в понедельник выпустил свои февральские обновления безопасности 2025 года, которые устраняют 48 уязвимостей, включая критическую уязвимость нулевого дня, затрагивающую ядро Android, которая активно использовалась в атаках.

Отслеживаемая как CVE-2024-53104, уязвимость нулевого дня была описана как проблема высокой степени серьезности, затрагивающая драйвер USB Video Class (UVC) ядра Android.

В чем заключается уязвимость?

Эта уязвимость является ошибкой повышения привилегий в драйвере USB Video Class Android, которая, если будет использована, может позволить аутентифицированному злоумышленнику повысить привилегии в атаках с низкой сложностью на целевые устройства.

Уязвимость нулевого дня находится в функции uvc_parse_format. Неправильный разбор кадров типа UVC_VS_UNDEFINED может привести к неправильному расчету размера буфера кадров.

Это может привести к записи за пределами допустимого, поскольку кадры этого типа не учитывались при расчете размера буфера кадров в uvc_parse_streaming.

Это потенциально может позволить злоумышленникам выполнять произвольный код на уязвимом Android-устройстве или вызвать условия отказа в обслуживании.

“В ядре Linux была устранена следующая уязвимость: media: uvcvideo: Пропустить разбор кадров типа UVC_VS_UNDEFINED в uvc_parse_format. Это может привести к записям за пределами допустимого, поскольку кадры этого типа не учитывались при расчете размера буфера кадров в uvc_parse_streaming,” говорится в уведомлении.

“Есть признаки того, что CVE-2024-36971 может находиться под ограниченной, целевой эксплуатацией”, отметил поисковый гигант в своем февральском месячном уведомлении о безопасности Android 2025 года.

Кроме того, Google устранил критическую уязвимость безопасности CVE-2024-45569 (оценка CVSS 9.8) в компоненте WLAN Qualcomm. Qualcomm утверждает, что эта уязвимость является проблемой повреждения памяти, вызванной неправильной проверкой индекса массива в WLAN Host Communication при разборе ML IE из-за недопустимого содержимого кадра. **

Выпущенные патчи

Google выпустил два набора патчей, уровни безопасности 2025-02-01 и 2025-02-05, в рамках обновлений безопасности февраля 2025 года.

Хотя устройства Google Pixel получают обновления безопасности немедленно, другие производители могут столкнуться с задержками из-за дополнительных тестов, необходимых для обеспечения совместимости патчей безопасности с различными аппаратными конфигурациями.

Поэтому пользователям Android настоятельно рекомендуется установить уровни безопасности 2025-02-01 и 2025-02-05 как можно скорее, чтобы защитить свои устройства и себя от серьезных угроз безопасности.