گوگل با انتشار بهروزرسانیهای امنیتی سیستم عامل اندروید – فوریه 2025، 48 آسیبپذیری از جمله یک آسیبپذیری روز صفر کرنل را که تحت اکسپلویت قرار گرفته است، برطرف کرد.
این روز صفر با شناسه CVE-2024-53104 (امتیاز CVSS: 7.8)، آسیبپذیری ارتقا سطح دسترسی در USB Video Class (UVC) کرنل اندروید است که به عوامل تهدید محلی احراز هویت شده، امکان ارتقای سطح دسترسی در حملات کمپیچیدگی را میدهد. نقص مذکور به این دلیل رخ میدهد که درایور فریمهای نوع UVC_VS_UNDEFINED را در تابع uvc_parse_format به طور دقیق تجزیه نمیکند. در نتیجه، اندازه بافر فریم اشتباه محاسبه میشود که منجر به نوشتنهای بالقوه خارج از محدوده میشود و میتواند در اجرای کد دلخواه یا حملات منع سرویس (DOS) مورد سوء استفاده قرار گیرد.
بهروزرسانیهای امنیتی اندروید فوریه 2025، نقص امنیتی حیاتی با شناسه CVE-2024-45569 و امتیاز 9.8 در مؤلفه WLAN کوالکام را نیز برطرف میکند. Qualcomm این نقص حیاتی را به عنوان باگ خرابی حافظه سفتافزار ناشی از ضعف اعتبارسنجی نامناسب ایندکس آرایه در ارتباطات میزبان WLAN هنگام تجزیه ML IE به دلیل محتوای فریم نامعتبر توصیف کرد. این نقص میتواند توسط مهاجمان راه دور برای اجرای بالقوه کد یا دستورات دلخواه، خواندن یا تغییر حافظه، و ایجاد خرابی در حملات کم پیچیدگی که نیازی به دسترسی یا تعامل کاربر ندارند مورد سوء استفاده قرار گیرد.
https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-attacks/
https://thehackernews.com/2025/02/google-patches-47-android-security.html
