Google подтвердил активные атаки через критическую уязвимость CVE-2024-21385 в графическом драйвере Qualcomm. Баг затрагивает миллионы Android-устройств и получил оценку CVSS 7.8 из 10.
Уязвимость — переполнение буфера при обработке графических данных. «Повреждение памяти при добавлении пользовательских этих без проверки доступного места в буфере», — описывает проблему Qualcomm в своём бюллетене.
Полтора месяца молчания
Android Security сообщила о проблеме Qualcomm 18 декабря 2024 года. Производитель чипов уведомил клиентов только 2 февраля 2025 года — спустя полтора месяца.
Google не раскрывает детали эксплуатации, но в мартовском бюллетене безопасности указывает: «Есть признаки использования CVE-2024-21385 в ограниченных целевых атаках».
Рекордные 129 исправлений
Мартовское обновление Android закрывает рекордные 129 уязвимостей. Среди них критический баг CVE-2025-0006 в системном компоненте — позволяет удалённо выполнить код без дополнительных привилегий.
Также исправлены семь уязвимостей повышения привилегий в ядре и критические баги во Framework. Для сравнения: в январе Google исправил одну уязвимость Android, в феврале — ни одной.
Что делать
Обновление выходит в двух волнах — 5 марта и 19 марта 2025 года. Вторая волна включает исправления для компонентов Arm, Imagination Technologies, MediaTek и Unisoc.
Владельцам Android-устройств на чипах Qualcomm нужно установить мартовские патчи безопасности немедленно.
