Google випустила масштабне лютневе оновлення безпеки для операційної системи Android, що усуває 48 критичних вразливостей. Особливу увагу фахівців з кібербезпеки привернула активно експлуатована уразливість нульового дня CVE-2024-53104, яка становить серйозну загрозу для користувачів Android-пристроїв.
Технічний аналіз уразливості нульового дня в USB-драйвері
Критична уразливість CVE-2024-53104 виявлена в драйвері USB Video Class ядра Android. Дослідження показало, що проблема виникає через неправильну обробку UVC_VS_UNDEFINED фреймів у функції uvc_parse_format. Такий дефект призводить до некоректного обчислення розміру буфера кадрів, що створює можливість для запису даних за межі виділеної пам’яті (out-of-bounds write).
Механізми експлуатації та потенційні наслідки
При успішній експлуатації уразливості зловмисники з локальним доступом можуть підвищити свої привілеї в системі. Це відкриває можливості для виконання довільного коду та організації DoS-атак, що становить критичну загрозу для безпеки користувацьких даних та стабільності роботи пристроїв.
Вразливість у компоненті Qualcomm WLAN
Серед виправлених вразливостей особливої уваги заслуговує CVE-2024-45569 у компоненті WLAN від Qualcomm. Ця уразливість дозволяє віддаленим зловмисникам виконувати довільний код без необхідності отримання додаткових привілеїв чи взаємодії з користувачем. Проблема пов’язана з некоректною валідацією індексів масиву при обробці ML IE в комунікації з WLAN-хостом.
Стратегія розгортання оновлень
Google застосувала двоетапний підхід до випуску патчів безпеки. Перший пакет (2025-02-01) містить базові виправлення, тоді як другий (2025-02-05) включає додаткові патчі для пропрієтарних модулів та компонентів ядра. Важливо зазначити, що через різноманітність апаратних конфігурацій не всі виправлення можуть бути застосовані до всіх Android-пристроїв.
З огляду на критичний характер виявлених вразливостей, користувачам Android наполегливо рекомендується невідкладно встановити доступні оновлення безпеки. Своєчасне оновлення програмного забезпечення залишається ключовим фактором у забезпеченні захисту мобільних пристроїв від потенційних кібератак та збереженні конфіденційності користувацьких даних.
