O Google disponibilizou a atualização de segurança do Android para fevereiro de 2025, corrigindo um total de 48 vulnerabilidades. Entre elas, destaca-se uma falha de dia zero no kernel do sistema, que já estava sendo explorada por cibercriminosos.
Google lança atualização de segurança do Android para fevereiro de 2025
A falha de alta gravidade, identificada como CVE-2024-53104, afeta o driver USB Video Class do kernel do Android. O problema ocorre devido a uma análise incorreta dos frames UVC_VS_UNDEFINED na função uvc_parse_format, resultando em um cálculo errado do tamanho do buffer. Essa vulnerabilidade pode ser explorada para escalar privilégios, possibilitando a execução de código arbitrário ou ataques de negação de serviço (DoS).
Vulnerabilidade crítica no WLAN da Qualcomm
Além da falha de dia zero, a atualização de fevereiro também aborda uma vulnerabilidade crítica no componente WLAN da Qualcomm, registrada como CVE-2024-45569. Essa falha decorre de uma validação inadequada do índice de matriz na comunicação do host WLAN ao analisar o ML IE. Caso explorada, pode permitir a execução remota de códigos maliciosos, leitura e modificação de memória ou falhas no sistema, sem necessidade de interação do usuário.
Níveis de patch e distribuição da atualização
O Google disponibilizou dois níveis de patch de segurança para este mês:
- 2025-02-01: Corrige as vulnerabilidades mais críticas.
- 2025-02-05: Inclui todas as correções anteriores e patches adicionais para componentes do kernel e softwares de terceiros.
Notícias Relacionadas
Atualizações Android
Google Play Store não exibe atualizações para aplicativos do sistema Android
A Google Play Store está enfrentando um problema que impede a exibição de atualizações para aplicativos de sistema Android, como o YouTube e o Google Partner Setup. Saiba mais sobre as implicações e como resolver.
Problema técnico
Atualização do Android Auto causa frustração com mudança na interface do Google Maps
A recente atualização do Android Auto causou críticas dos usuários devido a mudanças na interface do Google Maps, gerando distrações e dificultando a navegação, especialmente em telas menores.
Fabricantes podem optar por aplicar o primeiro conjunto de patches para acelerar a distribuição das atualizações, sem necessariamente indicar maior risco para os dispositivos que ainda aguardam o pacote completo.
Os dispositivos Google Pixel recebem as correções imediatamente, enquanto outras marcas levam um tempo adicional para testar e integrar os patches em seus dispositivos.
Histórico recente de falhas exploradas
O Google tem trabalhado constantemente para mitigar vulnerabilidades exploradas ativamente. Em novembro de 2024, a empresa corrigiu duas outras falhas de dia zero, CVE-2024-43047 e CVE-2024-43093, usadas em ataques direcionados. O CVE-2024-43047 foi explorado em spyware pelo governo sérvio contra jornalistas e ativistas.
A atualização de segurança de fevereiro de 2025 reforça o compromisso do Google com a proteção do Android, mitigando ameaças em potencial antes que possam causar impactos significativos aos usuários.
