2025年2月的安卓安全更新修复了48个漏洞,其中包括一个已被攻击者利用的零日内核漏洞。这个高危零日漏洞(编号为CVE-2024-53104)存在于安卓内核的USB视频类驱动程序中,是一个权限提升漏洞。攻击者可以通过低复杂度攻击,利用该漏洞提升权限。
漏洞详情与影响
该漏洞的根源在于驱动程序在uvc_parse_format函数中未能正确解析UVC_VS_UNDEFINED类型的帧。这导致帧缓冲区大小计算错误,可能引发越界写入问题,进而被攻击者利用来执行任意代码或发起拒绝服务攻击。
除了这个已被利用的零日漏洞外,2025年2月的安卓安全更新还修复了高通WLAN组件中的一个严重安全漏洞。高通将该漏洞(编号为CVE-2024-45569)描述为WLAN主机通信中的固件内存损坏问题,原因是解析ML IE时由于帧内容无效导致的数组索引验证不当。
攻击者可以利用CVE-2024-45569远程执行任意代码或命令、读取或修改内存,并在无需权限或用户交互的情况下触发系统崩溃。
安全更新与设备适配
谷歌为2025年2月发布了两组补丁,分别是2025-02-01和2025-02-05安全补丁级别。后者包含了第一批补丁的所有修复内容,并额外修复了闭源第三方组件和内核组件中的漏洞,但这些补丁可能不适用于所有安卓设备。
厂商可能会优先应用较早的补丁集以加快更新速度,但这并不一定意味着漏洞被利用的风险增加。谷歌Pixel设备将立即收到更新,而其他制造商通常需要更长时间来测试和调整针对不同硬件配置的安全补丁。
近期零日漏洞回顾
2024年11月,谷歌修复了另外两个被攻击者利用的安卓零日漏洞(编号为CVE-2024-43047和CVE-2024-43093),这些漏洞也被标记为在有限的定向攻击中被利用。CVE-2024-43047最初由谷歌Project Zero团队在2024年10月标记为被积极利用。塞尔维亚政府还利用该漏洞通过NoviSpy间谍软件攻击,入侵了活动人士、记者和抗议者的安卓设备。
参考来源:
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
