- 19,455
- 40
- 8 Ноя 2022
Патч также устраняет десятки скрытых угроз, о которых вы могли и не догадываться.
Февральское Для просмотра ссылки Войдиили Зарегистрируйся безопасности Android 2025 года исправило 48 уязвимостей, включая активно эксплуатируемый «нулевой день» в ядре системы. Наибольшую угрозу представляет Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , обнаруженная в драйвере USB Video Class (UVC) ядра Android.
Ошибка связана с некорректным разбором кадров формата UVC_VS_UNDEFINED в функции uvc_parse_format, что приводит к неправильному расчёту размера буфера. Это может привести к выходу за границы памяти, а значит — к выполнению произвольного кода или атакам типа «отказ в обслуживании» (DoS). Для эксплуатации злоумышленнику необходимо иметь локальный доступ к устройству, но сложность атаки остаётся низкой, что делает её особенно опасной.
Кроме «нулевого дня», патч устраняет критическую уязвимость Для просмотра ссылки Войдиили Зарегистрируйся в компоненте WLAN от Qualcomm. Ошибка связана с некорректной проверкой индекса массива при обработке ML IE в беспроводном соединении, что может привести к повреждению памяти в прошивке.
Эксплуатировать уязвимость можно удалённо, без необходимости в правах доступа или взаимодействии с пользователем, что делает её особенно привлекательной для атакующих. Возможные последствия включают выполнение произвольного кода, чтение и изменение данных в памяти, а также выведение устройства из строя.
Обновление безопасности Android включает два набора исправлений: Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Первый устраняет базовые уязвимости, второй — содержит дополнительные патчи для компонентов закрытого кода и ядра, которые могут не относиться ко всем устройствам. Производители могут распространять обновления поэтапно, а устройства Google Pixel получают патчи в числе первых, в то время как другие компании тестируют их под собственное оборудование.
Это не первый случай исправления активно эксплуатируемых уязвимостей в Android за последние месяцы. В ноябре 2024 года Google устранил ещё два «нулевых дня» — Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Один из них использовался сербскими властями для установки шпионского ПО NoviSpy на устройства активистов и журналистов.
Февральское Для просмотра ссылки Войди
Ошибка связана с некорректным разбором кадров формата UVC_VS_UNDEFINED в функции uvc_parse_format, что приводит к неправильному расчёту размера буфера. Это может привести к выходу за границы памяти, а значит — к выполнению произвольного кода или атакам типа «отказ в обслуживании» (DoS). Для эксплуатации злоумышленнику необходимо иметь локальный доступ к устройству, но сложность атаки остаётся низкой, что делает её особенно опасной.
Кроме «нулевого дня», патч устраняет критическую уязвимость Для просмотра ссылки Войди
Эксплуатировать уязвимость можно удалённо, без необходимости в правах доступа или взаимодействии с пользователем, что делает её особенно привлекательной для атакующих. Возможные последствия включают выполнение произвольного кода, чтение и изменение данных в памяти, а также выведение устройства из строя.
Обновление безопасности Android включает два набора исправлений: Для просмотра ссылки Войди
Это не первый случай исправления активно эксплуатируемых уязвимостей в Android за последние месяцы. В ноябре 2024 года Google устранил ещё два «нулевых дня» — Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
