主要漏洞及修復：

• CVE-2024-53104：這是 Android 核心的 USB 視訊類別 (UVC) 驅動程式中的一個高嚴重性權限提升漏洞。它源自於對 UVC_VS_UNDEFINED 類型訊框的不正確解析，導致Frame buffer大小計算錯誤和潛在的越界寫入 。這可能使攻擊者能夠執行任意程式碼或觸發拒絕服務條件。谷歌已確認對該漏洞進行了「有限的、有針對性的利用」。該漏洞是在 2008 年中發布的 Linux 核心版本 2.6.26 中出現的。
• CVE-2024-45569：高通 WLAN 韌體中的這個嚴重漏洞是由於 WLAN 主機通訊中陣列索引驗證不當而導致的記憶體損壞問題。它可能允許遠端攻擊者執行任意程式碼、讀取或修改記憶體內容，或導致設備Crash。該漏洞可以以較低的複雜度遠端攻擊，不需要特殊權限或使用者互動。
• CVE-2025-0088：另一個可能導致權限提升的高嚴重性核心漏洞。
• 其他框架、平台和系統漏洞：2025-02-01 修補程式解決了幾個高嚴重性問題，其中一些問題可能允許Local特權提升(Privilege escalation)，而無需額外的執行特權。這包括框架(Framework)、平台(Platform )和系統組件
  (System component)中的漏洞。

Android 安全性修補程式等級(Patch level)：

• 2025 年 2 月更新包含兩個安全修補程式等級：2025-02-01 和 2025-02-05。
• 使用 2025-02-01 安全修補程式層級的裝置必須包含與該安全修補程式層級相關的所有問題，以及先前的安全性公告中報告的所有問題的修復。
• 使用安全性修補程式等級 2025-02-05 或更新等級的裝置必須包含此安全性公告（以及先前的）中的所有適用修補程式。
• 鼓勵 Android 合作夥伴修復所有問題並使用最新的安全性修補程式等級。
• 雙修補程式等級提供了靈活性，可以在各種裝置上進行更快的更新。

緩解和保護措施：

• Android 提供平台和服務保護（例如 Google Play Protect）以減輕攻擊。
• 安裝有 Google 行動服務的裝置上預設啟用 Google Play Protect，這對於從 Google Play 以外安裝應用程式的使用者來說尤其重要。
• 較新的 Android 版本增強了安全措施，因此鼓勵使用者更新至最新版本。
• 安全團隊透過 Google Play Protect 積極監控濫用行為，並向使用者警告潛在有害應用程式。

建議：

• 強烈建議使用者立即將其設備更新到最新的安全性修補程式級別，以降低潛在風險。
• 設備製造商應將修補字串等級設定為 [ro.build.version.security_patch]:[2025-02-01] 或 [ro.build.version.security_patch]:[2025-02-05]。
• 使用者應檢查其裝置文件以取得應用系統更新的說明。
• 值得注意的是，某些搭載 Android 10 或更高版本的裝置可能會收到安全更新以及 Google Play 系統更新。

其他資訊：

• 此更新修正了總共 48 個漏洞。
• 嚴重程度評估是基於對受影響設備的潛在影響，假設平台和服務緩解措施已關閉或被繞過。
• 漏洞類型分為RCE（遠端程式碼執行）、EoP（特權提升）、ID（資訊外洩）和DoS（拒絕服務） 。
• Android 和晶片組製造商可能會發布針對其產品的安全漏洞詳情。

2025 年 2 月的 Android 安全公告詳細介紹了影響 Android 裝置的安全漏洞，包括影響核心、框架、平台和系統的安全漏洞。及時應用這些更新對於確保設備安全至關重要。

參考資料