Albisteak

Androiden hileko segurtasunaren eguneratzea - 2025eko urtarrila

Argitalpen-data: 

Googlek 2025eko urtarrileko Android segurtasun eguneratzeak argitaratu ditu. Bertan, 36 kalteberatasun konpondu dira, horietatik 6 kalteberatasun kritiko eta 30 larri, Android sistema eragilearen 12, 12L, 13, 14 eta 15 bertsioei eta lotutako osagaiei eragiten dietenak. Irtenbideek pribilegioen igoera, kode urruneko exekuzioa, informazioaren zabalkundea eta zerbitzuaren ukapena bezalako kalteberatasunak konpontzen dituzte. Bestalde, Google Pixel gailuetan kalteberatasun kritiko bat zuzendu da, identifikatzailea CVE-2024-53842 dena.

Kaltetutako baliabideak:

  • Framework
  • Media Framework
  • Imagination Technologies
  • MediaTek osagaiak
  • Qualcomm osagaiak

Azterketa teknikoa:

Kalteberatasun garrantzitsuenen xehetasunak hauek dira:

  • CVE-2024-20148: wlan STA FW-n, baliozkotze oker baten ondorioz, mugatik kanpo idazteko aukera dago. Honek kode urruneko exekuzioa ekar dezake (proximala/ondokoa), exekuzio-pribilegio gehigarririk gabe. Erabiltzailearen interakziorik ez da behar ustiapenerako.
    • CWE: 787
    • CVSS: 9.8
    • Eraso bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiaketa: Detektatu gabe
  • CVE-2024-34722: smp_proc_rand funtzioan BLE egokitze legatuan egiaztapen-akats bat dago. Honek urrunetik pribilegioen igoera eragin dezake, exekuzio-pribilegio gehigarririk gabe. Erabiltzailearen interakziorik ez da behar ustiapenerako.
    • CWE: 303
    • CVSS: 8.8
    • Eraso bektorea: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiaketa: Detektatu gabe
  • CVE-2024-43704: Softwarea erabiltzaile arrunt batek exekutatuta, GPU sistemaren deiek guraso-prozesu baten grafiko-buferrak eskuratzeko aukera ematen dute.
    • CWE: 668
    • CVSS: 8.4
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiaketa: Detektatu gabe
  • CVE-2024-20154: Modemean, baliozkotze faltagatik mugatik kanpo idazteko aukera dago. Honek kode urruneko exekuzioa ekar dezake UE bat erasotzaileak kontrolatutako estazio base batera konektatzen bada, exekuzio-pribilegio gehigarririk gabe.
    • CWE: 121
    • CVSS: 8.1
    • Eraso bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiaketa: Detektatu gabe
  • CVE-2024-20146: wlan STA kontrolagailuan, sarrera baliozkotze oker baten ondorioz, mugatik kanpo idazteko aukera dago. Honek kode urruneko exekuzioa ekar dezake (proximala/ondokoa), exekuzio-pribilegio gehigarririk gabe.
    • CWE: 787
    • CVSS: 8.1
    • Eraso bektorea: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
    • Ustiaketa: Detektatu gabe

Aringarriak / Irtenbidea:

Kalteberatasun hauek eta beste batzuk ekiditeko, beti sistemak eta aplikazioak azken bertsiora eguneratuta izatea gomendatzen da.

Erreferentzia Gehigarriak