Google hat im Februar-Sicherheitsupdate für Android kritische Patches veröffentlicht, die insgesamt 48 Sicherheitslücken schließen. Besonders besorgniserregend ist dabei eine aktiv ausgenutzte Zero-Day-Schwachstelle im USB-Videotreiber, die Angreifern erweiterte Systemrechte ermöglichen könnte.
Details zur kritischen USB-Treiber Schwachstelle
Die als CVE-2024-53104 katalogisierte Zero-Day-Verwundbarkeit betrifft den USB Video Class Treiber im Android-Kernel. Technische Analysen zeigen, dass der Fehler durch eine fehlerhafte Verarbeitung von UVC_VS_UNDEFINED Frames in der uvc_parse_format Funktion entsteht. Diese Schwachstelle ermöglicht Out-of-Bounds Schreibzugriffe, die von Angreifern zur Codeausführung missbraucht werden können.
Schwerwiegende Qualcomm WLAN-Komponente Verwundbarkeit
Neben der Zero-Day-Lücke wurde eine weitere kritische Schwachstelle (CVE-2024-45569) im Qualcomm WLAN-Modul identifiziert. Diese Sicherheitslücke ermöglicht Remote-Angreifern die Ausführung von beliebigem Code ohne Benutzerinteraktion. Der Fehler liegt in der unzureichenden Validierung von Array-Indizes bei der Verarbeitung von ML IE in der WLAN-Host-Kommunikation.
Implementierung der Sicherheitsupdates
Das Februar-Update wird in zwei Stufen ausgerollt: Die erste Patch-Ebene (2025-02-01) enthält grundlegende Sicherheitsaktualisierungen, während die zweite Ebene (2025-02-05) zusätzliche Fixes für proprietäre Module und Kernel-Komponenten bereitstellt. Die Verfügbarkeit der Patches kann je nach Gerätehersteller und Modell variieren.
Angesichts der Schwere der entdeckten Sicherheitslücken wird allen Android-Nutzern dringend empfohlen, ihre Geräte umgehend zu aktualisieren. Die Installation der verfügbaren Sicherheitsupdates ist entscheidend für den Schutz vor potenziellen Cyberangriffen. Zusätzlich sollten Nutzer ihre Geräte regelmäßig auf verfügbare Updates prüfen und automatische Aktualisierungen aktivieren, um auch zukünftig bestmöglich geschützt zu sein.
