Ocak 2025 Android Güvenlik Güncellemeleri Yama 48 Güvenlik Açıkları, Wild’da kullanıldığı gibi etiketlenen sıfır gün çekirdek güvenlik açığı dahil.
Bu yüksek şiddetli sıfır gün (CVE-2024-53104 olarak izlenir), Android çekirdeğinin USB video sınıfı sürücüsünde, kimliği doğrulanmış yerel tehdit aktörlerinin düşük karmaşıklık saldırılarındaki ayrıcalıkları yükseltmesine izin veren bir ayrıcalık yükseltme güvenlik kusurudur.
Sorun, sürücünün UVC_PARSE_FORMAT işlevi içinde UVC_VS_UNDEFINE tipinin çerçevelerini doğru bir şekilde ayrıştırmaması nedeniyle gerçekleşir. Sonuç olarak, çerçeve tampon boyutu yanlış hesaplanır, bu da keyfi kod yürütülmesinde veya hizmet reddi saldırılarından yararlanabilecek potansiyel olmayan potansiyel yazılara yol açar.
Bu aktif olarak sömürülen sıfır gün hatasına ek olarak, Ocak 2025 Android güvenlik güncellemeleri, Qualcomm’un WLAN bileşeninde kritik bir güvenlik kusurunu da düzeltir.
Qualcomm, bu kritik kusuru (CVE-2024-45569), geçersiz çerçeve içeriği nedeniyle ML IE’yi ayrıştırırken WLAN ana bilgisayar iletişimindeki dizi endeksi zayıflığının uygunsuz bir şekilde doğrulanmasının neden olduğu bir ürün yazılımı belleği bozulması sorunu olarak tanımlamaktadır.
CVE-2024-45569, potansiyel olarak keyfi kod veya komutlar yürütmek, belleği okumak veya değiştirmek ve ayrıcalıklar veya kullanıcı etkileşimi gerektirmeyen düşük karmaşık saldırılarda çökmeleri tetiklemek için uzak saldırganlar tarafından kullanılabilir.
Android Güvenlik Yama Seviyeleri
Google, Ocak 2025, 2025-02-01 ve 2025-02-05 güvenlik yama seviyeleri için iki set yaması yayınladı. İkincisi, ilk partiden gelen tüm düzeltmeleri ve tüm Android cihazlar için geçerli olmayan kapalı kaynaklı üçüncü taraf ve çekirdek öğeleri için ek yamaları içerir.
Satıcılar, daha hızlı güncellemeler için önceki yama setine öncelik verebilir, bu da artan sömürü riskini göstermez.
Google Pixel cihazları derhal güncellemeler alırken, diğer üreticilerin çeşitli donanım yapılandırmaları için güvenlik yamalarını test etmek ve ince ayar yapmak genellikle daha uzun sürer.
Kasım ayında Google, sınırlı, hedeflenen saldırılarda kullanıldığı gibi etiketlenen iki aktif olarak sömürülen Android sıfır günlerini (CVE-2024-43047 ve CVE-2024-43093) sabitledi.
CVE-2024-43047 ilk olarak Ekim 2024’te Google Project Zero tarafından aktif olarak kullanıldığı belirtildi. Sırp hükümeti, aktivistlerin, gazetecilerin ve protestocuların Android cihazlarından ödün vermek için Novispy casus yazılım saldırılarında da sömürdü.