Два тяжелых патча
Google двумя кумулятивными обновлениями для Android устранил сразу 47 уязвимостей в операционной системе, из которых минимум одна подвергалась активной эксплуатации.
Этот «баг» - CVE-2024-53104, - строго говоря, не является критическим: оценка по шкале CVSS 7,8 балла соответствует высокоопасному спектру. Тем не менее, его применяли в целевых атаках.
Уязвимость позволяет повышать локальные привилегии в системе из-за ошибки в компоненте ядра - драйвере USB Video Class.
Google не стал публиковать технических деталей уязвимости, но, как отмечает издание The Hacker News, в начале декабря 2024 г. один из разработчиков ядра Linux, (Greg Kroah-Hartman) отметил, что уязвимость Android унаследована именно от Linux, а конкретнее, от версии ядра 2.6.26. Причем эта версия появилась в середине 2008 г.
Самый первый релиз операционной системы Android датирован сентябрем 2008 г. Таким образом, «баг» мог сопровождать все версии мобильной операционной системы Google.
Сама по себе уязвимость довольно банальна: при парсинге (считывании) кадров типа UVC_VS_UNDEFINED в функции uvc_parse_format() драйвера uvc_driver.c возникает возможность записи данных за пределами выделенных ячеек памяти (out-of-boundswrite condition). Следствием этого может стать нарушение целостности памяти, прерывание работоспособности программы или запуск произвольного кода.
«Запуск неавторизованного кода - это фактическая возможность совершать любые действия в устройстве» - говорит , эксперт по информационной безопасности компании SEQ. «Судя по тому, что до критического уровня уязвимость недотягивает, ее эксплуатация - не самая тривиальная задача. Применение ее в немногочисленных целевых атаках - дополнительное свидетельство этому: когда говорят о подобных атаках, речь обычно идет о деятельности кибершпионов».
Симптом более крупной проблемы
Последние обновления Android также устранят критическую уязвимость в компоненте WLAN (управление беспроводными сетями) в чипсетах Qualcomm. «Баг» CVE-2024-45569 получил оценку CVSS 9,8 балла. Из-за некорректной валидации индекса массивов в соответствующем компоненте возникает угроза нарушения целостности памяти.
Судя по бюллетеню самого Qualcomm, уязвимость затрагивает десятки чипсетов для самых разных устройств. Конечных производителей уведомили еще в ноябре прошлого года. К настоящему моменту информации о попытках воспользоваться этой уязвимостью для совершения атак нет.
Google выпустил патчи двумя партиями, чтобы обеспечить своим партнерам гибкость в устранении выявленных проблем.