Google修補安卓作業系統核心的零時差漏洞

2月3日Google發布本月份安卓例行更新，總共修補、公布47個漏洞，值得留意的是，其中一項高風險層級的漏洞CVE-2024-53104，該公司表示，他們掌握某些跡象，研判可能有人專門利用這項漏洞從事目標式的攻擊。

CVE-2024-53104存在於安卓作業系統的Linux核心，為權限提升漏洞，主要影響子元件是USB Video Class（UVC），CVSS風險評分達到7.8。

該漏洞最初是在去年12月由Linux核心開發團隊揭露，起因是uvc_parse_format在處理UVC_VS_UNDEFINED格式的影格時，會略過剖析的處理，使得系統計算處理串流的緩衝區大小時，此種影格不會被列入，從而導致記憶體越界寫入（OBW）的現象。

當時Linux核心開發團隊成員Greg Kroah-Hartman對此提出說明，並指出該漏洞是2008年發布的2.6.26版Linux核心引入。

對於這項漏洞用於攻擊行動的情況，行動裝置作業系統GrapheneOS開發團隊指出，很有可能是經由資料鑑識解析工具利用。