https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

Google 修補已遭駭客利用的 Android 內核零時差漏洞

2025 / 02 / 05
編輯部
Google 修補已遭駭客利用的 Android 內核零時差漏洞
Google 於 2025 年 2 月發布的 Android 安全性更新中,修補了 48 個漏洞,其中包含一個已遭駭客利用的內核零時差漏洞。

這個高風險零時差漏洞(CVE-2024-53104)存在於 Android 內核的 USB Video Class 驅動程式中,允許本地攻擊者透過簡單的攻擊手法提升系統權限。該漏洞源自驅動程式在 uvc_parse_format 函數中無法正確解析 UVC_VS_UNDEFINED 類型的影格,導致影格緩衝區大小計算錯誤,可能造成緩衝區溢位,進而被利用來執行任意程式碼或發動阻斷服務攻擊。

除了這個零時差漏洞外,本次更新也修補了高通 WLAN 組件中的一個重大安全漏洞(CVE-2024-45569)。該漏洞源於 WLAN 主機通訊在解析 ML IE 時的陣列索引驗證不當,可能導致韌體記憶體毀損。遠端攻擊者無需特殊權限或使用者互動,即可利用此漏洞執行任意程式碼、讀取或修改記憶體,甚至導致系統崩潰。

安全性更新發布時程

Google 這次發布了兩批更新:2025-02-01 和 2025-02-05 安全性修補程式等級。後者包含前者的所有修補程式,以及針對閉源第三方和內核元件的額外修補。由於硬體配置差異,這些修補可能不適用於所有 Android 裝置。

Google Pixel 系列設備將立即收到更新,而其他製造商可能需要更長時間來測試並調整這些安全性修補程式。值得注意的是,去年 11 月,Google 也修補了兩個遭到利用的 Android 零時差漏洞(CVE-2024-43047 和 CVE-2024-43093)。其中 CVE-2024-43047 曾被塞爾維亞政府用於 NoviSpy 間諜軟體攻擊,針對活動人士、記者和示威者的 Android 裝置。

使用者應盡快更新系統,以確保裝置安全。同時也建議使用者留意系統更新通知,並在收到更新後即時安裝,以降低遭受攻擊的風險。

本文轉載自bleepingcomputer。