Google 竖立 Android 内核安全罅隙，疑似被定向挫折诳骗

Google发布了 2 月份的 Android安全更新，其中包含一个高危的内核级罅隙竖立，该罅隙疑似已被用于定向挫折。

这个罅隙 (CVE-2024-53104) 是 Linux内核中 USB 视频类运转步伐代码的一个真理真理残障。对于这个罅隙的细节未几，竖立决议是跳过未界说视频帧的瓦解，不然内核会写入不应造访的内存区域，这可能导致开辟崩溃或被都备劫抓。

真理真理的是，这段运转步伐代码主要用于处理 USB 录像头和雷同的视频源。因此，挫折可能波及畅达某些坏心硬件，将差错数据输入系统。Google 示意该罅隙不错竣事"无需荒谬推论权限的物理权限援救"，这听起来像是有东谈主不错插入坏心开辟（可能是法则部门使用的开辟）到易受挫折的 Android 开辟并汲取它。相应时东谈主景仰。

Google 在其公告中示意："有迹象标明 CVE-2024-53104 可能正在被有限的、定向的挫折所诳骗。" 咱们细心到客岁年底已接受了一个竖立开源内核中这个罅隙的补丁。

在 Google 本月推送的 46 个补丁中，唯唯一个被评为"严重"级别：CVE-2024-45569，CVSS 评分为 9.8（满分 10 分）。这个罅隙是高通无线局域网栈中一个经典的数组长度查验失败问题，通过处理空中的网罗料理帧触发，允许竣事特权而已代码推论或使开辟崩溃。这很严重。

张开剩余55%

Google 指出公告中通盘其他罅隙的严重进度都是"高"。另一个内核问题 CVE-2025-0088 措置了一个系统页表可能被改造的竞态条目问题，坏心应用步伐可能诳骗该罅隙得回开辟贬抑权。

总的来说，高通开辟得回了 10 个补丁，其中 4 个与其相机运转步伐相关。联发科开辟收到 5 个补丁，Imagination Technologies收到 4 个补丁，后者都是针对其 PowerVR-GPU 引擎的。

与 Android 补丁一贯的情况不异，Google Pixel 转移平台的用户将领先得回更新下载契机，其他制造商会随后跟进。三星刚刚发布了其 1 月份的补丁，一些制造商以致更晚。

导航 Netgear警报

本周不仅 Android 用户需要打补丁。Netgear 发布了几个针对未经身份考证的而已代码推论和身份考证绕过罅隙的关节竖立。

其 Nighthawk 游戏路由器系列中的三款机型需要固件更新，包括 XR1000、XR1000v2 和 XR500 型号都受到影响。Netgear 劝诫说，这个未经身份考证的而已代码推论罅隙 (CVSS 9.8) 可能允许挫折者贬抑未打补丁的开辟。这个发现来自 Netgear 的 Bug Crowd 罅隙赏金计算。

此外，Netgear 的三款 Wi-Fi 6 接入点 - WAX206、WAX214v2 和 WAX220 - 需要热切竖立一个严重的身份考证绕过罅隙，CVSS 评分为 9.6。

Netgear 敦促用户立即通过其 Orbi、Nighthawk 或 Insight 应用步伐进行修补。

发布于：北京市