HackerNews 编译,转载请注明出处:
谷歌日前发布安全更新,修复安卓操作系统中47项安全漏洞,其中一项已被证实遭到实际攻击。
本次修复的核心漏洞CVE-2024-53104(CVSS评分7.8)属于USB视频类(UVC)驱动内核组件的权限提升漏洞。
谷歌表示,攻击者可通过物理接触设备实施本地提权攻击,且已监测到该漏洞存在“有限范围的定向攻击”。
技术溯源显示,该漏洞最早可追溯至2008年发布的Linux内核2.6.26版本。
Linux内核维护者Greg Kroah-Hartman在2024年12月初披露,该漏洞源于”uvc_driver.c”程序中”uvc_parse_format()”函数对UVC_VS_UNDEFINED类型帧解析时引发的越界写入问题,可能导致内存损坏、程序崩溃或任意代码执行。
安全机构GrapheneOS分析指出,考虑到该漏洞涉及物理提权特性,不排除被取证数据提取工具滥用的可能性。同步修复的还包括高通WLAN组件高危漏洞CVE-2024-45569(CVSS评分9.8),该漏洞同样存在内存损坏风险。
值得注意的是,谷歌此次采用2025-02-01和2025-02-05双安全补丁级别机制,以便设备厂商灵活处理安卓系统通用漏洞。
“我们鼓励 Android 合作伙伴修复本公告中的所有问题,并使用最新的安全补丁级别,”谷歌表示。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
