2025年2月的安卓安全更新修復了48個漏洞，其中包括一個已被攻擊者利用的零日內核漏洞。這個高危零日漏洞（編號為CVE-2024-53104）存在于安卓內核的USB視頻類驅動程序中，是一個權限提升漏洞。攻擊者可以通過低復雜度攻擊，利用該漏洞提升權限。

漏洞詳情與影響

該漏洞的根源在于驅動程序在uvc_parse_format函數中未能正確解析UVC_VS_UNDEFINED類型的幀。這導致幀緩沖區大小計算錯誤，可能引發越界寫入問題，進而被攻擊者利用來執行任意代碼或發起拒絕服務攻擊。

除了這個已被利用的零日漏洞外，2025年2月的安卓安全更新還修復了高通WLAN組件中的一個嚴重安全漏洞。高通將該漏洞（編號為CVE-2024-45569）描述為WLAN主機通信中的固件內存損壞問題，原因是解析ML IE時由于幀內容無效導致的數組索引驗證不當。

攻擊者可以利用CVE-2024-45569遠程執行任意代碼或命令、讀取或修改內存，并在無需權限或用戶交互的情況下觸發系統崩潰。

安全更新與設備適配

谷歌為2025年2月發布了兩組補丁，分別是2025-02-01和2025-02-05安全補丁級別。后者包含了第一批補丁的所有修復內容，并額外修復了閉源第三方組件和內核組件中的漏洞，但這些補丁可能不適用于所有安卓設備。

廠商可能會優先應用較早的補丁集以加快更新速度，但這并不一定意味著漏洞被利用的風險增加。谷歌Pixel設備將立即收到更新，而其他制造商通常需要更長時間來測試和調整針對不同硬件配置的安全補丁。

近期零日漏洞回顧

2024年11月，谷歌修復了另外兩個被攻擊者利用的安卓零日漏洞（編號為CVE-2024-43047和CVE-2024-43093），這些漏洞也被標記為在有限的定向攻擊中被利用。CVE-2024-43047最初由谷歌Project Zero團隊在2024年10月標記為被積極利用。塞爾維亞政府還利用該漏洞通過NoviSpy間諜軟件攻擊，入侵了活動人士、記者和抗議者的安卓設備。