Google подтвердил активную эксплуатацию критической уязвимости CVE-2024-21385 в компонентах Qualcomm для Android-устройств. Атаки носят точечный характер и затрагивают ограниченное число целей.
Уязвимость получила оценку 7.8 балла по шкале CVSS и располагается в графическом компоненте Android. Баг — переполнение буфера при чтении — система добавляет пользовательские эти без проверки доступного места в буфере.
«Повреждение памяти при добавлении пользовательских этих без проверки доступного буферного пространства», — описывает проблему Qualcomm в техническом бюллетене. Фактически речь идёт о переполнении целых чисел, которое может привести к выполнению произвольного кода.
Хронология обнаружения
Команда Android Security сообщила о проблеме Qualcomm 18 декабря 2024 года. Производитель чипов уведомил клиентов об уязвимости только 2 февраля 2025 года — через полтора месяца после получения информации.
Google не раскрывает технических деталей атак, но подтверждает их существование: «Есть признаки того, что CVE-2024-21385 может использоваться в ограниченных целевых атаках».
Масштабное обновление безопасности
Мартовское обновление Android Security исправляет рекордные 129 уязвимостей. Среди них особо выделяется критический баг CVE-2025-0006 в системном компоненте, который позволяет удалённое выполнение кода без дополнительных привилегий.
Также закрыты семь уязвимостей повышения привилегий в ядре системы и баги в компонентах от ARM, Imagination Technologies, MediaTek и Unisoc.
Для справки: Google выпускает патчи Android по двухуровневой системе. Первый уровень (2025-03-01) включает общие исправления, второй (2025-03-05) — патчи для специфичных компонентов производителей.
Что делать разработчикам
Обновите все Android-устройства до последней версии системы безопасности. Особое внимание уделите устройствам на чипах Qualcomm — они находятся в зоне риска.
Если вы разрабатываете мобильные приложения, проверьте код на корректную обработку пользовательского ввода и валидацию размеров буферов.
Google планирует усилить контроль за сроками выпуска патчей партнёрами после случаев задержек с исправлениями критических уязвимостей.
