Google 發布了 2 月份的 Android 安全更新，其中包含一個高危的內核級漏洞修復，該漏洞疑似已被用于定向攻擊。

這個漏洞 (CVE-2024-53104) 是 Linux 內核中 USB 視頻類驅動程序代碼的一個有趣缺陷。關于這個漏洞的細節不多，修復方案是跳過未定義視頻幀的解析，否則內核會寫入不應訪問的內存區域，這可能導致設備崩潰或被完全劫持。

有趣的是，這段驅動程序代碼主要用于處理 USB 攝像頭和類似的視頻源。因此，攻擊可能涉及連接某些惡意硬件，將錯誤數據輸入系統。Google 表示該漏洞可以實現"無需額外執行權限的物理權限提升"，這聽起來像是有人可以插入惡意設備（可能是執法部門使用的設備）到易受攻擊的 Android 設備并接管它。非常令人好奇。

Google 在其公告中表示："有跡象表明 CVE-2024-53104 可能正在被有限的、定向的攻擊所利用。" 我們注意到去年年底已接受了一個修復開源內核中這個漏洞的補丁。

在 Google 本月推送的 46 個補丁中，只有一個被評為"嚴重"級別：CVE-2024-45569，CVSS 評分為 9.8（滿分 10 分）。這個漏洞是高通無線局域網棧中一個經典的數組長度檢查失敗問題，通過處理空中的網絡管理幀觸發，允許實現特權遠程代碼執行或使設備崩潰。這很嚴重。

Google 指出公告中所有其他漏洞的嚴重程度都是"高"。另一個內核問題 CVE-2025-0088 解決了一個系統頁表可能被更改的競態條件問題，惡意應用程序可能利用該漏洞獲得設備控制權。

總的來說，高通設備獲得了 10 個補丁，其中 4 個與其相機驅動程序有關。聯發科設備收到 5 個補丁，Imagination Technologies 收到 4 個補丁，后者都是針對其 PowerVR-GPU 引擎的。

與 Android 補丁一貫的情況一樣，Google Pixel 移動平臺的用戶將首先獲得更新下載機會，其他制造商會隨后跟進。三星剛剛發布了其 1 月份的補丁，一些制造商甚至更晚。

導航 Netgear 警報

本周不僅 Android 用戶需要打補丁。Netgear 發布了幾個針對未經身份驗證的遠程代碼執行和身份驗證繞過漏洞的關鍵修復。

其 Nighthawk 游戲路由器系列中的三款機型需要固件更新，包括 XR1000、XR1000v2 和 XR500 型號都受到影響。Netgear 警告說，這個未經身份驗證的遠程代碼執行漏洞 (CVSS 9.8) 可能允許攻擊者控制未打補丁的設備。這個發現來自 Netgear 的 Bug Crowd 漏洞賞金計劃。

此外，Netgear 的三款 Wi-Fi 6 接入點 - WAX206、WAX214v2 和 WAX220 - 需要緊急修復一個嚴重的身份驗證繞過漏洞，CVSS 評分為 9.6。

Netgear 敦促用戶立即通過其 Orbi、Nighthawk 或 Insight 應用程序進行修補。