Google fixes Android kernel zero-day exploited in attacks
2025/02/03 BleepingComputer — 2025年2月の Android セキュリティ・アップデートでは 48 件の脆弱性が修正されたが、その中には、実際に悪用されているゼロデイ脆弱性も含まれる。この重大度の高いゼロデイ脆弱性 CVE-2024-53104 は、Android Kernel の USB Video Class ドライバーにおける権限昇格の欠陥であり、認証済のローカルの脅威アクターに低複雑度の攻撃を許し、その結果として権限昇格が引き起こされるという。
この問題は、uvc_parse_format 関数内における UVC_VS_UNDEFINED タイプのフレームを、ドライバーが 正確に解析しないことに起因する。その結果として、フレーム・バッファ・サイズが誤って計算され、境界外書き込みが発生し、任意のコード実行やサービス拒否攻撃にいたるとされる。
2025年2月の Android セキュリティ・アップデートでは、この積極的に悪用されているゼロデイバグに加えて、Qualcomm の WLAN コンポーネントの深刻なセキュリティ欠陥も修正されている。
Qualcomm は、この深刻な脆弱性 CVE-2024-45569 について、ファームウェアのメモリ破損の問題であると説明している。無効なフレーム・コンテンツに対する ML IE を解析する際の、WLAN ホスト通信における配列インデックスの、不適切な検証の欠陥に起因するとしている。
この CVE-2024-45569 が、リモートの攻撃者により悪用されると、権限昇格やユーザー操作を必要としない複雑度の低い攻撃で、任意のコード/コマンドの実行や、メモリの読取/は変更などが達成され、クラッシュのトリガーとなる可能性がある。
Android セキュリティ・パッチ・レベル
Google は、2025年2月のパッチとして、2025-02-01/2025-02-05 の、2つのセキュリティ・パッチ・レベルをリリースしている。2025-02-05 には、2025-02-01 での全修正と、クローズドソースのサードパーティおよびカーネル要素に対する追加のパッチが含まれるが、すべての Android デバイスに適用されるとは限らないという。
より迅速な更新を目指すベンダーは、2025-02-01 のパッチセットを優先する場合があるが、悪用のリスクが増加するものではない。
Google Pixel デバイスのケースでは、すぐにアップデートを受け取れるが、他のメーカーのケースでは、各種のハードウェア・コンフィグに対して、セキュリティ・パッチのテストと微調整に時間が掛かることが多い。
2024年11月に Google は、限定的な標的型攻撃で悪用されたとして、2つの積極的に悪用されている Android ゼロデイ CVE-2024-43047/CVE-2024-43093 を修正している。
前者の脆弱性 CVE-2024-43047 は、2024年10月に Google Project Zero により、積極的な悪用が確認されたものだ。セルビア政府が、NoviSpy スパイウェア攻撃で、この脆弱性を悪用し、活動家/反体制者/ジャーナリストたちの Android デバイスを侵害したという。
Android の 48件の脆弱性が FIX しました。ゼロデイ脆弱性 CVE-2024-53104 も含まれています。アップデートを忘れないよう、お気をつけください。よろしければ、Android で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.