Gli aggiornamenti di sicurezza Android di febbraio 2025 hanno corretto 48 vulnerabilità, tra cui una vulnerabilità zero-day del kernel che è stata sfruttata in natura. Questa vulnerabilità di gravità elevata (tracciata come CVE-2024-53104) è una falla di sicurezza di escalation dei privilegi nel driver USB Video Class del kernel Android che consente agli hacker locali autenticati di elevare i privilegi in attacchi di bassa complessità. Il problema si verifica perché il driver non analizza accuratamente i frame di tipo UVC_VS_UNDEFINED all'interno della funzione uvc_parse_format. Di conseguenza, la dimensione del frame buffer viene calcolata in modo errato. Ciò porta a potenziali scritture fuori dai limiti che possono essere sfruttate in esecuzione di codice arbitrario o attacchi denial-of-service.
Oltre a questo bug zero-day sfruttato attivamente, i recenti aggiornamenti di sicurezza Android correggono anche una falla di sicurezza critica nel componente WLAN di Qualcomm. Questa falla critica (CVE-2024-45569) è stata descritta come un problema di danneggiamento della memoria del firmware causato da una debolezza di convalida non corretta dell'indice di array nella comunicazione host WLAN durante l'analisi di ML IE a causa di contenuto di frame non valido. CVE-2024-45569 può essere sfruttato da aggressori remoti per eseguire codice o comandi arbitrari. Inoltre, permette di leggere o modificare la memoria e innescare arresti anomali in attacchi a bassa complessità che non richiedono privilegi o interazione dell'utente.
Google: gli altri zero-day corretti per Android
Google ha rilasciato due set di patch per febbraio 2025, i livelli di patch di sicurezza 2025-02-01 e 2025-02-05. Quest'ultimo include tutte le correzioni del primo batch e patch aggiuntive per elementi di terze parti e kernel closed-source. I fornitori potrebbero dare priorità al set di patch precedente per aggiornamenti più rapidi, il che non indica necessariamente un rischio di sfruttamento maggiore. I dispositivi Google Pixel riceveranno gli aggiornamenti immediatamente, mentre altri produttori spesso impiegano più tempo per testare e mettere a punto le patch di sicurezza.
A novembre, Google ha corretto altri due zero-day Android attivamente sfruttati (CVE-2024-43047 e CVE-2024-43093). Anch'essi erano contrassegnati come sfruttati in attacchi mirati e limitati. CVE-2024-43047 è stato contrassegnato per la prima volta come attivamente sfruttato da Google Project Zero nell'ottobre 2024. Il governo serbo lo ha anche sfruttato in attacchi spyware NoviSpy per compromettere i dispositivi Android di attivisti, giornalisti e manifestanti.