Google週一發布了2025年2月的安全補丁,該補丁程序解決了48個漏洞,其中包括影響攻擊中積極利用的Android內核的關鍵零日漏洞。
跟踪為CVE-2024-53104,零日缺陷被描述為影響Android內核USB視頻類(UVC)驅動程序的高度問題。
什麼脆弱性?
此漏洞是Android的USB視頻類驅動程序中的特權升級安全缺陷,如果利用該障礙,則可以允許身份驗證的攻擊者提高對目標設備的低複雜性攻擊中的特權。
零日缺陷位於uvc_parse_format函數中。 UVC_VS_UNDEFINES類型幀的解析不當會導致框架的緩衝區大小被誤算。
這可能會導致外部寫入,因為在計算uvc_parse_streaming中的幀緩衝區大小時未考慮這種類型的框架。
這可能會允許攻擊者在易受傷害的Android電話或觸發拒絕服務條件上執行任意代碼。
“在Linux內核中,已經解決了以下漏洞:媒體:UVCVIDEO:UVC_PARSE_FORMAT中的UVC_VS_UNDEFED類型的鏡頭框架,因為這種類型的框架在uvc_parame buffer in uvc_pareamsse_pareamsse_pareamssse scressse,'閱讀諮詢。
“有跡象表明CVE-2024-36971可能處於有限的,有針對性的剝削之下”,搜索巨頭著名的在2025年2月的Android安全諮詢中。
此外,Google解決了一個關鍵的安全漏洞,CVE-2024-45569(CVSS得分為9.8),在高通的WLAN組件中。高通指出,由於無效的框架內容,對WLAN主機通信中數組索引的驗證不當驗證造成的記憶損壞問題。
釋放的補丁
Google發布了兩個補丁集,2025-02-01和2025-02-05安全補丁級別,作為2025年2月的安全更新的一部分。
儘管Google Pixel設備立即接收安全更新,但由於確保安全補丁與各種硬件配置兼容所需的其他測試,其他製造商可能會遇到延遲。
因此,強烈建議Android用戶盡快安裝2025-02-01和2025-02-02的安全補丁級別,以保護其設備和自己免受主要安全威脅。
![2025 年 11 款最佳遊戲 DNS 伺服器 [ 最快 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2018/12/dnsserversforgamingcover.jpg)
