Google corrige Zero-Day no Kernel do Android explorado em ataques

As atualizações de segurança do Android de fevereiro de 2025 corrigem 48 vulnerabilidades, incluindo uma falha zero-day no kernel do sistema, que já estava sendo explorada em ataques.

Essa vulnerabilidade crítica (identificada como CVE-2024-53104) é uma falha de escalonamento de privilégios no driver USB Video Class do kernel do Android. Ela permite que hackers locais autenticados aumentem seus privilégios em ataques de baixa complexidade.

O problema ocorre porque o driver não processa corretamente quadros do tipo UVC_VS_UNDEFINED na função uvc_parse_format. Isso leva a um erro no cálculo do tamanho do buffer de quadros, possibilitando gravações fora dos limites e exploração da falha para execução arbitrária de código ou ataques de negação de serviço (DoS).

Além dessa falha zero-day já explorada, a atualização de segurança de fevereiro de 2025 também corrige uma vulnerabilidade crítica no componente WLAN da Qualcomm.

A Qualcomm descreve essa falha (CVE-2024-45569) como um problema de corrupção de memória no firmware, causado por uma validação inadequada do índice de array na comunicação entre o host e o WLAN ao processar elementos ML IE de quadros inválidos.

A CVE-2024-45569 pode ser explorada remotamente por hackers para executar comandos arbitrários, ler ou modificar a memória e causar falhas no sistema, tudo sem a necessidade de privilégios ou interação do usuário.

O Google lançou dois conjuntos de patches para fevereiro de 2025: 2025-02-01 e 2025-02-05. O segundo inclui todas as correções do primeiro, além de patches adicionais para componentes de terceiros e elementos do kernel de código fechado, que podem não se aplicar a todos os dispositivos Android.

Fabricantes podem priorizar a aplicação do primeiro conjunto de patches para agilizar as atualizações, o que não significa necessariamente um risco maior de exploração.

Os dispositivos Google Pixel recebem as atualizações imediatamente, enquanto outras fabricantes costumam levar mais tempo para testar e ajustar os patches de segurança para diferentes configurações de hardware.

Em novembro de 2024, o Google já havia corrigido outras duas falhas zero-day (CVE-2024-43047 e CVE-2024-43093), que também estavam sendo exploradas em ataques direcionados.

A vulnerabilidade CVE-2024-43047 foi identificada pelo Google Project Zero como ativamente explorada em outubro de 2024. O governo da Sérvia utilizou essa falha em ataques do spyware NoviSpy para comprometer dispositivos Android de ativistas, jornalistas e manifestantes.

Via - BC