
Google telah mengirim tambalan untuk mengatasi 47 kelemahan keamanan dalam sistem operasi Android, termasuk yang dikatakan telah berada di bawah eksploitasi aktif di alam liar.
Kerentanan yang dimaksud adalah CVE-2024-53104 (skor CVSS: 7.8), yang telah digambarkan sebagai kasus eskalasi hak istimewa dalam komponen kernel yang dikenal sebagai driver USB Video Class (UVC).
Eksploitasi cacat yang berhasil dapat menyebabkan eskalasi fisik hak istimewa, kata Google, mencatat bahwa mereka sadar bahwa itu mungkin di bawah “eksploitasi yang terbatas dan ditargetkan.”
Sementara tidak ada detail teknis lain yang ditawarkan, pengembang kernel Linux Greg Kroah-Hartman mengungkapkan pada awal Desember 2024 bahwa kerentanan berakar pada kernel Linux dan diperkenalkan dalam versi 2.6.26, yang dirilis pada pertengahan tahun 2008.

Secara khusus, ini berkaitan dengan kondisi penulisan yang tidak terikat yang dapat muncul sebagai akibat dari bingkai parsing tipe uvc_vs_undefined dalam fungsi bernama “uvc_parse_format ()” dalam program “uvc_driver.c”.
Ini juga berarti bahwa cacat dapat dipersenjatai untuk mengakibatkan korupsi memori, kerusakan program, atau eksekusi kode sewenang -wenang.
Juga ditambal sebagai bagian dari pembaruan keamanan bulanan Google adalah cacat kritis dalam komponen WLAN Qualcomm (CVE-2024-45569, skor CVSS: 9.8) yang juga dapat menyebabkan korupsi memori.
Perlu dicatat bahwa Google telah merilis dua level patch keamanan, 2025-02-01 dan 2025-02-05, sehingga memberikan fleksibilitas kepada mitra Android untuk mengatasi sebagian kerentanan yang serupa di semua perangkat Android lebih cepat.
“Mitra Android didorong untuk memperbaiki semua masalah dalam buletin ini dan menggunakan tingkat patch keamanan terbaru,” kata Google.