Googleは月曜日に2025年2月のセキュリティパッチをリリースしました。これは、攻撃で積極的に悪用されているAndroidカーネルに影響を与える重要なゼロデイの脆弱性を含む48の脆弱性に対処します。
ASを追跡しましたCVE-2024-53104、ゼロデイの欠陥は、Android KernelのUSBビデオクラス(UVC)ドライバーに影響を与える高強度の問題として説明されています。
脆弱性は何ですか?
この脆弱性は、AndroidのUSBビデオクラスドライバーの特権エスカレーションセキュリティの欠陥であり、それを活用すると、認証された攻撃者がターゲットデバイスの低複合攻撃で特権を高めることができます。
ゼロデイの欠陥は、UVC_PARSE_FORMAT関数に存在します。 UVC_VS_UNDEFINEDタイプフレームの不適切な解析により、バッファーサイズのフレームが誤算を行う可能性があります。
このタイプのフレームは、UVC_PARSE_STREAMINGのフレームバッファーサイズを計算したときに考慮されなかったため、これはバウンド外の書き込みにつながる可能性があります。
これにより、攻撃者が脆弱なAndroid電話で任意のコードを実行したり、サービス拒否条件を引き起こすことができるようになります。
「Linuxカーネルでは、次の脆弱性が解決されました:メディア:UVCVIDEO:UVC_PARSE_FORMATでUVC_VS_UNDEFINEDのタイプの解析フレームをスキップします。 uvc_parse_streamingのバッファー」読みますアドバイザリー。
「CVE-2024-36971が制限されている可能性があり、標的を絞った搾取の兆候がある」と検索大手注目されています2025年2月に毎月のAndroid Security Advisory。
さらに、Googleは重要なセキュリティの欠陥に対処しました。CVE-2024-45569(9.8のCVSSスコア)、QualcommのWLANコンポーネント。 Qualcommは、この欠陥は、フレームコンテンツの無効なためにML IEを解析する際のWLANホスト通信のアレイインデックスの不適切な検証によって引き起こされるメモリ腐敗の問題であると述べています。
リリースされたパッチ
Googleは2つのパッチセットをリリースしました2025-02-01そして2025-02-052025年2月のセキュリティアップデートの一部として、セキュリティパッチレベル。
Google Pixelデバイスはすぐにセキュリティアップデートを受け取りますが、他のメーカーは、セキュリティパッチがさまざまなハードウェア構成と互換性があることを確認するために必要な追加のテストにより、遅延が発生する場合があります。
したがって、Androidユーザーは、2025-02-01および2025-02-05セキュリティパッチレベルをできるだけ早くインストールすることを強くお勧めします。
