CVE-2024-53104: Google затваря критичен 0day бъг в Android
Пачът премахва и десетки скрити заплахи, за които може би не сте и подозирали.
Февруарската актуализация на сигурността на Android от 2025 г. отстранява 48 уязвимости, включително активно експлоатиран нулев ден в ядрото на системата. Най-голямата заплаха е уязвимостта CVE-2024-53104, открита в драйвера USB Video Class (UVC) в ядрото на Android.
Бъгът е свързан с неправилното анализиране на кадрите с формат UVC_VS_UNDEFINED във функцията uvc_parse_format, което води до неправилно изчисляване размера на буфера. Това може да доведе до излизане извън границите на паметта, а оттам и до произволно изпълнение на код или атаки за отказ на услуга (DoS). Нападателят трябва да има локален достъп до устройството, за да го използва, но сложността на атаката е ниска, което я прави особено опасна.
В допълнение към нулевия ден, пачът премахва критичната уязвимост CVE-2024-45569 във WLAN компонента на Qualcomm. Грешката е свързана с неправилното валидиране на индексите на масивите по време на обработката на ML IE в безжична връзка, което може да доведе до нарушаване работата на паметта във фърмуера.
Уязвимостта може да бъде използвана отдалечено, без да са необходими права за достъп или взаимодействие с потребителя, което я прави особено привлекателна за нападателите. Възможните последствия включват изпълнение на произволен код, четене и промяна на данни в паметта и деактивиране на устройството.
Актуализацията на сигурността на Android включва два комплекта кръпки: 2025-02-01 и 2025-02-05. Първият е насочен към основните уязвимости, а вторият съдържа допълнителни поправки за елементите със затворен код и ядрото, които може да не важат за всички устройства. Производителите могат да разпространяват актуализациите на етапи, а устройствата Google Pixel са сред първите, които получават корекциите, докато други компании ги тестват на своя собствен хардуер.
Това не е първият път, когато активно използвани уязвимости в Android се закърпват през последните месеци. През ноември 2024 г. Google коригира още две уязвимости от типа „нулев ден“ – CVE-2024-43047 и CVE-2024-43093. Едната от тях беше използвана от сръбските власти за инсталиране на шпионския софтуер NoviSpy на устройствата на активисти и журналисти.
