Google corrige falha zero-day no kernel do Android

O Google lançou atualizações de segurança em fevereiro de 2025 para corrigir 48 vulnerabilidades no Android, incluindo uma falha zero-day de alta gravidade no kernel que estava sendo explorada ativamente. Identificada como CVE-2024-53104, essa vulnerabilidade permite que invasores locais autenticados elevem privilégios através de ataques de baixa complexidade.

O problema ocorre porque o driver USB Video Class (UVC) não analisa corretamente frames do tipo UVC_VS_UNDEFINED na função uvc_parse_format, resultando em um cálculo incorreto do tamanho do buffer de frame. Isso pode levar a gravações fora dos limites, possibilitando a execução arbitrária de código ou ataques de negação de serviço.

Além dessa falha, as atualizações de fevereiro de 2025 também corrigem uma vulnerabilidade crítica no componente WLAN da Qualcomm. Descrita como CVE-2024-45569, essa falha é causada por uma validação inadequada do índice de array na comunicação do host WLAN ao analisar o ML IE devido a conteúdo de frame inválido.

Isso pode ser explorado por atacantes remotos para executar código ou comandos arbitrários, ler ou modificar a memória e causar falhas no sistema em ataques de baixa complexidade que não requerem privilégios ou interação do usuário.

Os usuários são fortemente aconselhados a atualizar seus dispositivos Android para a versão mais recente o mais rápido possível para garantir a segurança.