Albisteak

Androiden segurtasunaren hileko eguneratzea - 2025eko otsaila

Argitalpen-data: 

Google-ek argitaratu ditu 2025eko otsailarako Android eta Pixel gailuetarako hilabeteko segurtasun buletinak. Bi txostenek adierazten dute framework, platform, system, kernel eta beste hainbat hirugarren osagaiek (hain zuzen, Arm, Imagination Technologies, MediaTek, Unisoc eta Qualcomm) eragiten dituzten arazo kritikoak barne hartzen dituzten kalteberatasunak 2025-02-05ko edo hobetutako zuzenketa mailan eguneratuz konpontzen direla. Pixel gailuetan, Android buletinean deskribatutako kalteberatasunen gainetik, gailuetako bateria funtzionamendu arazoekin lotutako kalteberatasun gehigarriei buruzko zuzenketa zehatzak eta hobekuntza funtzionalak gehitu dira, eta eguneratze horien berehala onartzea gomendatzen da.
Azkenik, identifikatu da CVE-2024-53104 mugatua eta zuzendurik ustiatzen ari daitekeela.

Kaltetutako baliabideak

  • Framework
  • Media Framework
  • Sistema
  • Google Play
  • Componentes ARM
  • Tecnologías Imagination
  • Componentes Mediatek
  • Componentes Unisoc
  • Componentes Qualcomm

Analisi teknikoa

Ustiaturiko kalteberatasunaren xehetasunak hauek dira:

  • CVE-2024-53104: Linux Kernel-en, ondorengo kalteberatasuna konpondu da: media: uvcvideo: UVC_VS_UNDEFINED motako fotograma-azterketa saihestea uvc_parse_format-en. Honek mugaz kanpoko idazketak sor ditzake, mota horretako fotogramak ez baitziren kontuan hartu uvc_parse_streaming-en fotograma-buffer tamaina kalkulatzean.
    • CWE: 787
    • CVSS: 7.8
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Detektatua

Kalteberatasun garrantzitsuenen xehetasunak hauek dira:

  • CVE-2024-45569: Memoria ustelkeria ML IE aztertzean, marko baliogabeen edukia dela eta.
    • CWE: 129
    • CVSS: 9.8
    • Eraso bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2024-38420: Memoria ustelkeria hiperbisor batean oinarritutako sarrera-gailu bat konfiguratzean.
    • CWE: 20
    • CVSS: 8.8
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2024-49839: Memoria ustelkeria kudeaketa-tramaren prozesamenduan, T2LM informazio-elementuan desadostasun bat dela eta.
    • CWE: 126
    • CVSS: 8.2
    • Eraso bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Ustiapena: Ez da detektatu
  • CVE-2024-49833: Memoria ustelkeria gerta daiteke kameran CID baliogabe bat erabiltzean.
    • CWE: 129
    • CVSS: 7.8
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2024-45582: Memoria ustelkeria kameraren kernel-ean gailu kopurua balioztatzean.
    • CWE: 129
    • CVSS: 7.8
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2024-49832: Memoria ustelkeria kameran, AXI portura bidalitako nodo kopuru neurriz kanpokoa dela eta.
    • CWE: 129
    • CVSS: 7.8
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu

Arintzea / Konponbidea

Kalteberatasun hauek eta beste batzuk saihesteko, gomendagarria da beti sistemak eta aplikazioak eskuragarri dagoen azken bertsiora eguneratzea.

Erreferentzia osagarriak