Google 修補已遭駭客利用的 Android 內核零時差漏洞

Google 於 2025 年 2 月發布的 Android 安全性更新中，修補了 48 個漏洞，其中包含一個已遭駭客利用的內核零時差漏洞。

這個高風險零時差漏洞（CVE-2024-53104）存在於 Android 內核的 USB Video Class 驅動程式中，允許本地攻擊者透過簡單的攻擊手法提升系統權限。該漏洞源自驅動程式在 uvc_parse_format 函數中無法正確解析 UVC_VS_UNDEFINED 類型的影格，導致影格緩衝區大小計算錯誤，可能造成緩衝區溢位，進而被利用來執行任意程式碼或發動阻斷服務攻擊。

除了這個零時差漏洞外，本次更新也修補了高通 WLAN 組件中的一個重大安全漏洞（CVE-2024-45569）。該漏洞源於 WLAN 主機通訊在解析 ML IE 時的陣列索引驗證不當，可能導致韌體記憶體毀損。遠端攻擊者無需特殊權限或使用者互動，即可利用此漏洞執行任意程式碼、讀取或修改記憶體，甚至導致系統崩潰。

安全性更新發布時程

Google 這次發布了兩批更新：2025-02-01 和 2025-02-05 安全性修補程式等級。後者包含前者的所有修補程式，以及針對閉源第三方和內核元件的額外修補。由於硬體配置差異，這些修補可能不適用於所有 Android 裝置。

Google Pixel 系列設備將立即收到更新，而其他製造商可能需要更長時間來測試並調整這些安全性修補程式。值得注意的是，去年 11 月，Google 也修補了兩個遭到利用的 Android 零時差漏洞（CVE-2024-43047 和 CVE-2024-43093）。其中 CVE-2024-43047 曾被塞爾維亞政府用於 NoviSpy 間諜軟體攻擊，針對活動人士、記者和示威者的 Android 裝置。

使用者應盡快更新系統，以確保裝置安全。同時也建議使用者留意系統更新通知，並在收到更新後即時安裝，以降低遭受攻擊的風險。

本文轉載自bleepingcomputer。