Февральский набор обновлений для Android устранил в общей сложности 48 брешей, включая уязвимость нулевого дня (0-day) в ядре ОС. Злоумышленники уже используют соответствующий эксплойт в кибератаках.
0-day отслеживается под идентификатором CVE-2024-53104 и приводит к повышению прав в системе.
Проблема затрагивает драйвер уровня ядра — USB Video Class. С помощью эксплойта киберпреступники повышают привилегии, причём атака в этом случае не представляет никакой сложности.
Корень бреши кроется в некорректном парсинге драйвером фреймов UVC_VS_UNDEFINED в функции uvc_parse_format. В результате неверно подсчитывается размер буфера, что приводит к записи за пределами границ.
Помимо 0-day, февральские обновления устраняю критическую брешь в компоненте Qualcomm WLAN. Она получила идентификатор CVE-2024-45569 и связана с неправильной проверкой индекса массива.
Эксплойт может позволить злоумышленникам выполнить произвольный код или команды, прочитать и изменить память, а также привести к сбоям в работе системы. Для этого не потребуется взаимодействовать с пользователем или повышать права.
