Live Halchal Latest News, Updated News, Hindi News Portal
गूगल ने इस महीने (फरवरी 2025) एंड्रॉयड डिवाइसेज के लिए एक सिक्योरिटी अपडेट रिलीज किया है। ये अपडेट कई सिक्योरिटी प्रॉब्लम्स को ठीक करता है। इन प्रॉब्लम्स की अलग-अलग लेवल की सीवियरिटी है कुछ हाई रिस्क हैं और कुछ क्रिटिकल। ठीक की गई प्रॉब्लम्स में से एक का इस्तेमाल हैकर्स पहले से ही कर रहे थे। आइए जानते हैं बाकी डिटेल।
गूगल ने सोमवार को एंड्रॉयड डिवाइसेज के लिए फरवरी 2025 का सिक्योरिटी पैच रिलीज किया गया। इस अपडेट में इम्पोर्टेन्ट सिक्योरिटी फिक्सेस शामिल हैं। ये फिक्सेस उन वल्नेरेबिलिटीज को एड्रेस करते हैं जो हाल ही में डिस्कवर की गई थीं। इन वल्नेरेबिलिटीज की सीवियरिटी हाई से लेकर क्रिटिकल तक है। इनमें से एक खामी ऐसी भी थी कि जिसका इस्तेमाल हैकर्स द्वारा सिस्टम को अटैक करने के लिए किया जा रहा था। कई खामियां आर्म, इमेजिनेशन टेक्नोलॉजीज, मीडियाटेक, क्वालकॉम और यूनिसोक कंपोनेंट्स से चलने डिवाइसेज को टारगेट करती हैं। जबकि, कुछ वल्नेरेबिलिटीज सामान्य सिस्टम कंपोनेंट्स जैसे फ्रेमवर्क और कर्नेल को अफेक्ट करते हैं।
एंड्रॉयड के लिए फरवरी 2025 का सिक्योरिटी पैच
गूगल के फरवरी 2025 के एंड्रॉयड सिक्योरिटी बुलेटिन के मुताबिक, लेटेस्ट अपडेट के साथ कुल 47 डिस्कवर की गई वल्नेरेबिलिटीज को पैच किया गया है। रोलआउट के बाद, माउंटेन व्यू-बेस्ड टेक्नोलॉजी जायंट ने इन इश्यूज के लिए सोर्स कोड पैच भी एंड्रॉयड ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी में रिलीज किए हैं। गूगल ने एक वल्नेरेबिलिटी को CVE-2024-53104 के तौर पर आइडेंटिफाई किया है। ये प्रॉब्लम सॉफ्टवेयर के उस हिस्से में है जो USB वीडियो डिवाइसेज को हैंडल करता है। गूगल का कहना है कि अटैकर्स द्वारा इस वल्नेरेबिलिटी का इस्तेमाल लिमिटेड और टारगेटेड तरीके से किया जा रहा होगा।
बुलेटिन के मुताबिक, हाई सीवियरिटी और 7.8 के CVSS स्कोर के साथ, इसके जरिए ‘कोई भी सिस्टम का हायर-लेवल एक्सेस गेन कर सकता है, जिसके लिए किसी एक्स्ट्रा प्रोग्राम को रन करने की जरूरत भी नहीं होगी।’ गूगल ने इस समस्या के बारे में ज़्यादा जानकारी नहीं दी है। लेकिन, नेशनल वल्नरेबिलिटी डेटाबेस में इस बारे में ज्यादा डिटेल है। ये डेटाबेस अमेरिकी सरकार द्वारा चलाया जाता है। इसमें कहा गया है कि खामी लिनक्स कर्नेल में है। खास तौर पर, ये वीडियो को हैंडल करने के तरीके से जुड़ी एक खामी है।
क्या है खामी?
सॉफ्टवेयर के एक हिस्से, जिसे uvc_parse_format कहा जाता है, में एक प्रॉब्लम हुई। ये हिस्सा वीडियो फॉर्मेट्स से डील करता है। प्रॉब्लम ये थी कि ये एक स्पेसिफिक टाइप के वीडियो फ्रेम, जिसे UVC_VS_UNDEFINED कहा जाता है, को कैसे हैंडल करता है।
सॉफ्टवेयर को इन अनडिफाइंड फ्रेम्स को इग्नोर करना चाहिए था। इसकी जगह, इसने उन्हें समझने की कोशिश की। सॉफ्टवेयर का एक और हिस्सा, uvc_parse_streaming, कैलकुलेट करता है कि कितनी मेमोरी की जरूरत है। इसने एक गलती की क्योंकि इसने अनडिफाइंड फ्रेम्स को कंसीडर नहीं किया। इस गलती के कारण, सॉफ्टवेयर ने एलोकेट किए गए मेमोरी स्पेस के बाहर डेटा को राइट करने की कोशिश की। इसे ‘आउट-ऑफ-बाउंड्स राइट’ कहा जाता है और ये एक सिक्योरिटी वल्नेरेबिलिटी है।
फरवरी 2025 अपडेट के साथ पैच की गई 47 वल्नेरेबिलिटीज में से, केवल एक को ‘क्रिटिकल’ सीवियरिटी, CVE-2024-45569 लेबल किया गया है। इसकी CVSS रेटिंग 9.8 है। ये खामी क्वालकॉम डिवाइसेज में WLAN सबकंपोनेंट को प्रभावित करता है। ये फ्रेमवर्क, कर्नेल, प्लेटफॉर्म और सिस्टम से संबंधित इश्यूज को भी एड्रेस करता है।
