Google ने एंड्रॉयड के लिए जारी किया फरवरी का सिक्योरिटी पैच

गूगल ने इस महीने (फरवरी 2025) एंड्रॉयड डिवाइसेज के लिए एक सिक्योरिटी अपडेट रिलीज किया है। ये अपडेट कई सिक्योरिटी प्रॉब्लम्स को ठीक करता है। इन प्रॉब्लम्स की अलग-अलग लेवल की सीवियरिटी है कुछ हाई रिस्क हैं और कुछ क्रिटिकल। ठीक की गई प्रॉब्लम्स में से एक का इस्तेमाल हैकर्स पहले से ही कर रहे थे। आइए जानते हैं बाकी डिटेल।

गूगल ने सोमवार को एंड्रॉयड डिवाइसेज के लिए फरवरी 2025 का सिक्योरिटी पैच रिलीज किया गया। इस अपडेट में इम्पोर्टेन्ट सिक्योरिटी फिक्सेस शामिल हैं। ये फिक्सेस उन वल्नेरेबिलिटीज को एड्रेस करते हैं जो हाल ही में डिस्कवर की गई थीं। इन वल्नेरेबिलिटीज की सीवियरिटी हाई से लेकर क्रिटिकल तक है। इनमें से एक खामी ऐसी भी थी कि जिसका इस्तेमाल हैकर्स द्वारा सिस्टम को अटैक करने के लिए किया जा रहा था। कई खामियां आर्म, इमेजिनेशन टेक्नोलॉजीज, मीडियाटेक, क्वालकॉम और यूनिसोक कंपोनेंट्स से चलने डिवाइसेज को टारगेट करती हैं। जबकि, कुछ वल्नेरेबिलिटीज सामान्य सिस्टम कंपोनेंट्स जैसे फ्रेमवर्क और कर्नेल को अफेक्ट करते हैं।

एंड्रॉयड के लिए फरवरी 2025 का सिक्योरिटी पैच
गूगल के फरवरी 2025 के एंड्रॉयड सिक्योरिटी बुलेटिन के मुताबिक, लेटेस्ट अपडेट के साथ कुल 47 डिस्कवर की गई वल्नेरेबिलिटीज को पैच किया गया है। रोलआउट के बाद, माउंटेन व्यू-बेस्ड टेक्नोलॉजी जायंट ने इन इश्यूज के लिए सोर्स कोड पैच भी एंड्रॉयड ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी में रिलीज किए हैं। गूगल ने एक वल्नेरेबिलिटी को CVE-2024-53104 के तौर पर आइडेंटिफाई किया है। ये प्रॉब्लम सॉफ्टवेयर के उस हिस्से में है जो USB वीडियो डिवाइसेज को हैंडल करता है। गूगल का कहना है कि अटैकर्स द्वारा इस वल्नेरेबिलिटी का इस्तेमाल लिमिटेड और टारगेटेड तरीके से किया जा रहा होगा।

बुलेटिन के मुताबिक, हाई सीवियरिटी और 7.8 के CVSS स्कोर के साथ, इसके जरिए ‘कोई भी सिस्टम का हायर-लेवल एक्सेस गेन कर सकता है, जिसके लिए किसी एक्स्ट्रा प्रोग्राम को रन करने की जरूरत भी नहीं होगी।’ गूगल ने इस समस्या के बारे में ज़्यादा जानकारी नहीं दी है। लेकिन, नेशनल वल्नरेबिलिटी डेटाबेस में इस बारे में ज्यादा डिटेल है। ये डेटाबेस अमेरिकी सरकार द्वारा चलाया जाता है। इसमें कहा गया है कि खामी लिनक्स कर्नेल में है। खास तौर पर, ये वीडियो को हैंडल करने के तरीके से जुड़ी एक खामी है।

क्या है खामी?
सॉफ्टवेयर के एक हिस्से, जिसे uvc_parse_format कहा जाता है, में एक प्रॉब्लम हुई। ये हिस्सा वीडियो फॉर्मेट्स से डील करता है। प्रॉब्लम ये थी कि ये एक स्पेसिफिक टाइप के वीडियो फ्रेम, जिसे UVC_VS_UNDEFINED कहा जाता है, को कैसे हैंडल करता है।

सॉफ्टवेयर को इन अनडिफाइंड फ्रेम्स को इग्नोर करना चाहिए था। इसकी जगह, इसने उन्हें समझने की कोशिश की। सॉफ्टवेयर का एक और हिस्सा, uvc_parse_streaming, कैलकुलेट करता है कि कितनी मेमोरी की जरूरत है। इसने एक गलती की क्योंकि इसने अनडिफाइंड फ्रेम्स को कंसीडर नहीं किया। इस गलती के कारण, सॉफ्टवेयर ने एलोकेट किए गए मेमोरी स्पेस के बाहर डेटा को राइट करने की कोशिश की। इसे ‘आउट-ऑफ-बाउंड्स राइट’ कहा जाता है और ये एक सिक्योरिटी वल्नेरेबिलिटी है।

फरवरी 2025 अपडेट के साथ पैच की गई 47 वल्नेरेबिलिटीज में से, केवल एक को ‘क्रिटिकल’ सीवियरिटी, CVE-2024-45569 लेबल किया गया है। इसकी CVSS रेटिंग 9.8 है। ये खामी क्वालकॉम डिवाइसेज में WLAN सबकंपोनेंट को प्रभावित करता है। ये फ्रेमवर्क, कर्नेल, प्लेटफॉर्म और सिस्टम से संबंधित इश्यूज को भी एड्रेस करता है।