Zero-Day no Kernel do Android

4 de Fevereiro de 2025

As atualizações de segurança do Android de fevereiro de 2025 corrigem 48 vulnerabilidades, incluindo uma vulnerabilidade zero-day no kernel que foi explorada em ataques reais.

Essa vulnerabilidade zero-day de alta gravidade (rastreada como CVE-2024-53104 ) é uma falha de escalonamento de privilégio no driver da Classe de Vídeo USB do Kernel do Android que permite a atores de ameaças locais autenticados elevar privilégios em ataques de baixa complexidade.

O problema ocorre porque o driver não analisa corretamente frames do tipo UVC_VS_UNDEFINED dentro da função uvc_parse_format.

Como resultado, o tamanho do buffer do frame é calculado incorretamente, levando a potenciais escritas fora dos limites que podem ser exploradas em execução de código arbitrário ou ataques de negação de serviço.

Além desse bug zero-day ativamente explorado, as atualizações de segurança do Android de fevereiro de 2025 também corrigem uma falha crítica de segurança no componente WLAN da Qualcomm.

A Qualcomm descreve essa falha crítica ( CVE-2024-45569 ) como um problema de corrupção de memória de firmware causado por uma fraqueza de Validação Imprópria de Índice de Array na comunicação do host WLAN ao analisar a ML IE devido ao conteúdo inválido do frame.

O CVE-2024-45569 pode ser explorado por atacantes remotos para potencialmente executar código ou comandos arbitrários, ler ou modificar memória e provocar travamentos em ataques de baixa complexidade que não exigem privilégios ou interação do usuário.

A Google lançou dois conjuntos de patches para fevereiro de 2025, os níveis de patch de segurança 2025-02-01 e 2025-02-05.

Este último inclui todas as correções do primeiro lote e patches adicionais para elementos de terceiros e do kernel de código fechado, que podem não se aplicar a todos os dispositivos Android.

Os fornecedores podem priorizar o conjunto de patches anterior para atualizações mais rápidas, o que não indica necessariamente um aumento no risco de exploração.

Os dispositivos Google Pixel receberão as atualizações imediatamente, enquanto outros fabricantes muitas vezes levam mais tempo para testar e ajustar os patches de segurança para várias configurações de hardware.

Em novembro, a Google corrigiu mais dois zero-days ativamente explorados no Android ( CVE-2024-43047 e CVE-2024-43093), também marcados como explorados em ataques limitados e direcionados.

O CVE-2024-43047 foi marcado pela primeira vez como ativamente explorado pelo Google Project Zero em outubro de 2024.

O governo sérvio também o explorou em ataques de spyware NoviSpy para comprometer os dispositivos Android de ativistas, jornalistas e manifestantes.

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...