Google, Android Şubat 2025 güvenlik güncellemeleri kapsamında toplam 48 güvenlik açığını gideriyor. Bunlardan biri, aktif olarak istismar edilen yüksek önemdeki sıfırıncı gün açığı (CVE-2024-53104) oldu.
Android Kernel Açığı Ciddi Risk Taşıyor
Bu güvenlik açığı, Android Kernel’in USB Video Class sürücüsünde tespit edildi. Yetkili bir saldırgan, bu zafiyeti kullanarak sistemde yetkilerini yükseltebilir. Açık, sürücünün UVC_VS_UNDEFINED çerçeve türünü doğru şekilde analiz edememesinden kaynaklanıyor. Bunun sonucunda hafıza taşmaları meydana gelebilir ve saldırganlar keyfi kod çalıştırma veya hizmet reddi saldırıları gerçekleştirebilir.
Güncellemeler ayrıca Qualcomm WLAN bileşeninde tespit edilen kritik bir güvenlik açığını (CVE-2024-45569) da kapatacak. Bu hata, hafıza bozulmasına neden olup saldırganların uzaktan kod çalıştırmasına, belleği okumasına veya değiştirmesine olanak tanıyabilir.
Google, Şubat 2025 güncellemelerini iki farklı sürümle sundu: 2025-02-01 ve 2025-02-05 güvenlik seviyeleri. İkinci sürüm, ek olarak kapalı kaynaklı bileşenler ve kernel güncellemeleri içeriyor. Google Pixel cihazları güncellemeleri hemen alırken, diğer üreticiler yamaları cihazlarına uyarlamak için zaman alabiliyor.
Google, Kasım 2024’te de iki sıfırıncı gün açığını (CVE-2024-43047 ve CVE-2024-43093) gidermişti. Bu açıkların, NoviSpy casus yazılım saldırılarında kullanıldığı belirtilmişti. Android kullanıcılarının, cihazlarını en kısa sürede güncelleyerek bu güvenlik açıklarından korunması öneriliyor.
