Google otklonio kritičan zero-day propust u Android kernelu 

Google je u februarskom bezbednosnom ažuriranju za Android zakrpio ukupno 48 sigurnosnih propusta, među kojima je i najozbiljniji zero-day propust u Android kernelu koji je već korišćen za napade. 

Najkritičnija ranjivost u ovom ažuriranju je CVE-2024-53104, označena kao propust za eskalaciju privilegija u USB Video Class drajveru Android kernela. Ova greška omogućava napadačima sa autentifikovanim pristupom da eskaliraju svoje privilegije putem napada niske kompleksnosti. 

Do problema dolazi zato što drajver neispravno obrađuje UVC_VS_UNDEFINED okvire u funkciji uvc_parse_format, što dovodi do pogrešnog proračuna veličine bafera. Ova greška omogućava pisanje izvan dodeljenih memorijskih adresa, što može dovesti do izvršavanja proizvoljnog koda ili denial-of-service (DoS) napada. 

Ispravljena još jedna kritična ranjivost u Qualcomm WLAN komponenti 

Pored gorepomenutog zero-day propusta, Google je takođe zakrpio kritičnu ranjivost u Qualcomm WLAN komponenti, koja nosi oznaku CVE-2024-45569. 

Qualcomm je opisao ovaj propust kao oštećenje memorije firmvera izazvano nepravilnom validacijom indeksa niza tokom komunikacije WLAN hosta pri analizi ML IE dela sa neispravnim sadržajem. 

Eksploatacija CVE-2024-45569 može omogućiti udaljenim napadačima da izvrše bilo kakav kod, čitaju ili menjaju memoriju, pa čak i izazovu pad sistema, i to kroz napade niske kompleksnosti koji ne zahtevaju privilegije ili interakciju korisnika. 

Android bezbednosni nivoi zakrpa za februar 2025.

Google je objavio dva seta ispravki za februar 2025: 

• Nivo bezbednosnih ispravki 2025-02-01, koji pokriva ranjivosti u osnovnim Android komponentama. 
• Nivo bezbednosnih ispravki 2025-02-05, koji uključuje dodatne ispravke za zatvoreni kod i kernel komponente drugih strana, a možda neće biti primenljiv na sve Android uređaje. 

Google Pixel uređaji će ove zakrpe dobiti odmah, dok će ostali proizvođači Android uređaja morati da ih testiraju i prilagode za različite hardverske konfiguracije, što može dovesti do kašnjenja izlaska. 

Podsećamo da je Google je u novembru 2024. ispravio dva dodatna aktivno eksploatisana zero-day propusta (CVE-2024-43047 i CVE-2024-43093), koji su korišćeni u špijunskom softveru NoviSpy, a navodno ih je srpska vlada koristila za nadzor aktivista, novinara i demonstranata. 

Google nastavlja da pojačava bezbednost Android platforme kako bi zaštitio korisnike od sofisticiranih pretnji, ali kašnjenje u ažuriranjima kod pojedinih proizvođača uređaja i dalje predstavljaju izazov za kompletan Android ekosistem, piše Bleeping Computer.