Google opublikował lutową aktualizację Androida i zamknął niebezpieczną podatność na OS Core w IT, który podobno był wykorzystywany przez atakujących. Kilka luk w zabezpieczeniach związanych z komponentami producentów – Partnerzy Google są również zamknięte.
W aktualizacji Google Android błąd CVE-2014-53104 jest zamknięty-podatność w kodzie zawartym w sterowniku nukleusa Linux urządzeń wideo z USB. Niewiele wiadomo na temat tego błędu: w skorygowanej formie algorytm pomija analizę nieokreślonego filmu personelu – w przeciwnym razie rdzeń rejestrowałby dane, które nie powinny być w pamięci. Ten błąd może być obsługiwany w celu wywołania awarii urządzenia lub pełnego przechwytywania tego urządzenia.
Początkowo kod sterownika jest zaprojektowany do pracy z sygnałami kamery USB i innymi źródłami wideo, co oznacza, że operacja obejmuje połączenie złośliwego oprogramowania, które przesyła nieprawidłowe dane do systemu. Podatność, powiedział w Google, może być obsługiwana w celu „fizycznego wzrostu przywilejów bez potrzeby dodatkowych uprawnień do wykonania”. Oznacza to, że aby uzyskać kontrolę nad gadżetem pod kontrolą Androida, wystarczyło na specjalny sposób podłączyć przygotowane urządzenie. „Istnieją oznaki, że CVE-2024-53104 można poddać ograniczonej działalności”, przyznał Gogle.
W sumie w lutowej aktualizacji poprawiono 46 luk. Jeden z nich, za numerem CVE-2024-45569, znalazł się ocena 9,8 na 10, należała do lokalnych modułów bezprzewodowych Qualcomm Wireless i pozwoliło uruchomić zdalne wykonywanie kodu lub wywołać awarię urządzenia. Kolejnym była podatność jądra za numerem CVE-2015-0088, umożliwiając wymianę tabel stron systemowych, a jego aplikacja operacyjna może zapewnić atakującemu kontrolę nad wrażliwym urządzeniem. Qualcomm zidentyfikował 10 luk w komponentach; W składnikach MediaTek – 5; Elementy technologii wyobraźni – 4 związane z podsystemem graficznym PowerVR. Pierwszy, który uaktualnił Android, przyjmie właścicieli urządzeń Google Pixel, a za nimi znajdują się właściciele obsługiwanych urządzeń innych producentów. Samsung, największy partner Google, zakończył rozwinięcie stycznia.
