CVE-2024-53104: Google cierra vulnerabilidad crítica de día 0 en Android

La actualización de seguridad de Android de febrero de 2025 corrigió 48 vulnerabilidades, incluida una de "día cero" que estaba siendo explotada activamente en el núcleo del sistema. La mayor amenaza la representa la vulnerabilidad CVE-2024-53104 , descubierta en el controlador USB Video Class (UVC) del núcleo de Android.

El error está relacionado con un análisis incorrecto de los fotogramas en formato UVC_VS_UNDEFINED en la función uvc_parse_format, lo que provoca un cálculo incorrecto del tamaño del búfer. Esto puede generar un desbordamiento de memoria, lo que a su vez permite la ejecución de código arbitrario o ataques de denegación de servicio (DoS). Para explotar la vulnerabilidad, el atacante debe tener acceso local al dispositivo, pero la baja complejidad del ataque la hace especialmente peligrosa.

Además del "día cero", el parche corrige la vulnerabilidad crítica CVE-2024-45569 en el componente WLAN de Qualcomm. El error está relacionado con una validación incorrecta del índice de un array al procesar ML IE en la conexión inalámbrica, lo que puede provocar daños en la memoria del firmware.

La vulnerabilidad puede explotarse de forma remota, sin necesidad de permisos de acceso o interacción del usuario, lo que la hace especialmente atractiva para los atacantes. Sus posibles consecuencias incluyen la ejecución de código arbitrario, la lectura y modificación de datos en memoria, así como la inutilización del dispositivo.

La actualización de seguridad de Android incluye dos conjuntos de correcciones: 2025-02-01 y 2025-02-05 . El primero soluciona vulnerabilidades básicas, mientras que el segundo contiene parches adicionales para componentes de código cerrado y del núcleo, que pueden no aplicarse a todos los dispositivos. Los fabricantes pueden distribuir las actualizaciones de manera gradual, mientras que los dispositivos Google Pixel reciben los parches entre los primeros, mientras que otras compañías los prueban en su propio hardware.

No es la primera vez en los últimos meses que se corrigen vulnerabilidades activamente explotadas en Android. En noviembre de 2024, Google solucionó otros dos "días cero" — CVE-2024-43047 y CVE-2024-43093 . Una de ellas fue utilizada por las autoridades serbias para instalar el software espía NoviSpy en los dispositivos de activistas y periodistas.