Kritinis „Android“ atnaujinimas: pašalinta pavojinga saugumo spraga

„Google“ vasario mėnesio „Android“ operacinės sistemos atnaujinime ištaisė net 47 saugumo pažeidžiamumus. Tarp jų – ir kritinė spraga, kuri buvo aktyviai išnaudojama. Šis atnaujinimas ne tik užtikrina didesnį įrenginių saugumą, bet ir pašalina grėsmes, kurios galėjo kelti rimtą pavojų vartotojų duomenims.

Spraga atskleista 2024 metais

Pagrindinis šio saugumo atnaujinimo akcentas – CVE-2024-53104, aukšto pavojingumo pažeidžiamumas, kuris paveikia USB Video Class (UVC) tvarkyklę „Linux“ branduolyje.

Ši spraga, pirmą kartą atskleista 2024 m. lapkritį, turi CVSS 7.8 įvertinimą ir leidžia piktavaliams padidinti sistemos privilegijas, vykdyti savavališką kodą arba sukelti įrenginio strigtis. 

Problema kilo dar 2008 m., kai buvo pristatyta Linux 2.6.26 versija, ir ji susijusi su netinkamu vaizdo kadrų apdorojimu – konkrečiai, out-of-bounds įrašymo klaida funkcijoje „uvc_parse_format()“. 

Nustatyta spraga ir „Qualcomm“ lustuose

Ši spraga buvo išnaudojama ribotai, tačiau tikslingai, o atakos metodas susijęs su „fizine“ privilegijų eskalacija. 

Tai leidžia manyti, kad spraga galėjo būti išnaudojama teismo ekspertizės įrankiuose, siekiant išgauti duomenis iš senesnių įrenginių.

Be CVE-2024-53104, „Qualcomm“ taip pat ištaisė kritinį pažeidžiamumą savo WLAN komponentuose, pažymėtą CVE-2024-45569, kuris turi labai aukštą CVSS 9.8 įvertinimą. 

Ši spraga susijusi su atminties pažeidimo problema, atsirandančia dėl netinkamo masyvo indeksų tikrinimo apdorojant tinklo valdymo kadrus. Dėl to kyla didelė nuotolinio kodo vykdymo rizika. 

„Qualcomm“ lustai yra plačiai naudojami „Android“ įrenginiuose.

„Google Pixel“ naudotojai pirmieji gaus prieigą

„Android“ saugos atnaujinimas apima du pataisų lygius – 2025-02-01 ir 2025-02-05, suteikiant „Android“ partneriams lankstumo sprendžiant bendras pažeidžiamumo problemas.

Antrasis atnaujinimas apima papildomas pataisas branduolio ir trečiųjų šalių komponentų pažeidžiamumams, ypač iš tiekėjų, tokių kaip „Arm“, „Imagination Technologies“, „MediaTek“ ir „Unisoc“.

Kaip ir įprasta, „Google Pixel“ naudotojai gaus greitą prieigą prie šių pataisų, tuo tarpu kitų gamintojų įrenginiai saugumo atnaujinimus dažnai gauna lėčiau, nes reikia pritaikyti saugumo priemones pagal jų specialiai sukurtus įrenginius.