Đúng như thông lệ, Google vừa công bố bản tin bảo mật Android tháng 2 năm 2025. Theo giải thích của gã khổng lồ Mountain View trong báo cáo, 48 lỗ hổng đã được xác định trong hệ điều hành này. Các bản vá đã được cung cấp cho các nhà sản xuất.
Trong số các lỗ hổng được Google phát hiện và khắc phục, có một lỗ hổng nằm trong hạt nhân Linux của Android. Đây là phần trung tâm của hệ điều hành quản lý giao tiếp giữa phần cứng và phần mềm.
Chi tiết hơn, lỗi này liên quan đến trình điều khiển USB Video Class (UVC), chuyên quản lý các thiết bị video được kết nối với cổng USB. Vấn đề nằm ở việc quản lý khung hình video, tức là hình ảnh được gửi bởi camera USB. Một trong các chức năng của hạt nhân được cho là xử lý các khung hình được truyền đi bởi thiết bị.
Một loại khung hình đặc biệt, được coi là định dạng video không xác định hoặc không rõ ràng, sẽ làm hỏng trình điều khiển. Trên thực tế, công cụ này cố gắng đọc và xử lý các khung hình này, ngay cả khi chúng được định dạng kém. Thông thường, các khung kiểu này sẽ bị hệ thống bỏ qua.
Lỗi này dẫn đến vấn đề ghi ngoài giới hạn trong bộ nhớ, một lỗi máy tính xảy ra khi một chương trình ghi dữ liệu bên ngoài vùng bộ nhớ được phân bổ. Trong trường hợp này, đôi khi điện thoại thông minh có thể bị sập bất ngờ.
Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể giành được quyền quản trị trên hệ thống mục tiêu. Từ đó trở đi, anh ta có thể tự do thực thi mã tùy ý trên chiếc điện thoại thông minh mà anh ta đang để mắt tới. Điều này mở ra cánh cửa cho mọi hình thức lạm dụng, chẳng hạn như cài đặt phần mềm độc hại dẫn đến đánh cắp dữ liệu.
Như Google chỉ ra, lỗ hổng này đã bị tin tặc khai thác tích cực "một cách có mục tiêu và hạn chế". Tin tặc đã sử dụng nó để tấn công các mục tiêu cụ thể. Đây không phải là một cuộc tấn công quy mô lớn. Tuy nhiên, chúng tôi khuyên bạn nên cài đặt các bản vá ngay khi chúng có sẵn trên thiết bị Android của bạn.
Đồng thời, Google cũng đang sửa một lỗ hổng nghiêm trọng trong thành phần WLAN (Mạng cục bộ không dây) của Qualcomm. Theo Qualcomm giải thích, đây là sự cố hỏng bộ nhớ xảy ra do lỗi trong chương trình cơ sở của linh kiện. Lỗi này liên quan đến cách thiết bị xử lý một số thông tin nhất định được gửi qua mạng Wi-Fi.
Thông qua lỗ hổng này, tin tặc có thể thực thi mã độc, sửa đổi dữ liệu trong bộ nhớ hoặc khiến điện thoại thông minh bị sập mà không cần bất kỳ quyền đặc biệt hoặc bất kỳ tương tác nào từ người dùng. Dễ thực hiện, cuộc tấn công cho phép hệ điều hành bị xâm nhập từ xa một cách nhanh chóng.
Google đã phát hành hai bản vá bảo mật vào tháng 2 năm 2025. Ngoài bản vá thông thường, còn có các bản sửa lỗi bổ sung cho một số thành phần của bên thứ ba và hạt nhân. Không phải tất cả các thiết bị Android đều bị ảnh hưởng bởi những bản sửa lỗi bổ sung này. Google giải thích rằng phương pháp này cung cấp cho các nhà sản xuất "khả năng khắc phục nhanh hơn một tập hợp các lỗi tương tự trên tất cả các thiết bị Android".
Để kiểm tra xem bản vá đã có trên điện thoại thông minh của bạn hay chưa, chỉ cần vào menu Cài đặt, sau đó đến phần Giới thiệu về thiết bị và đến Cập nhật phần mềm. Nếu có bản cập nhật, chỉ cần nhấp vào Chạy cập nhật để cài đặt.
Nguồn: Android.com
Trong số các lỗ hổng được Google phát hiện và khắc phục, có một lỗ hổng nằm trong hạt nhân Linux của Android. Đây là phần trung tâm của hệ điều hành quản lý giao tiếp giữa phần cứng và phần mềm.
Một lỗi trong hạt nhân Android
Chi tiết hơn, lỗi này liên quan đến trình điều khiển USB Video Class (UVC), chuyên quản lý các thiết bị video được kết nối với cổng USB. Vấn đề nằm ở việc quản lý khung hình video, tức là hình ảnh được gửi bởi camera USB. Một trong các chức năng của hạt nhân được cho là xử lý các khung hình được truyền đi bởi thiết bị.
Một loại khung hình đặc biệt, được coi là định dạng video không xác định hoặc không rõ ràng, sẽ làm hỏng trình điều khiển. Trên thực tế, công cụ này cố gắng đọc và xử lý các khung hình này, ngay cả khi chúng được định dạng kém. Thông thường, các khung kiểu này sẽ bị hệ thống bỏ qua.
Lỗi này dẫn đến vấn đề ghi ngoài giới hạn trong bộ nhớ, một lỗi máy tính xảy ra khi một chương trình ghi dữ liệu bên ngoài vùng bộ nhớ được phân bổ. Trong trường hợp này, đôi khi điện thoại thông minh có thể bị sập bất ngờ.
Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể giành được quyền quản trị trên hệ thống mục tiêu. Từ đó trở đi, anh ta có thể tự do thực thi mã tùy ý trên chiếc điện thoại thông minh mà anh ta đang để mắt tới. Điều này mở ra cánh cửa cho mọi hình thức lạm dụng, chẳng hạn như cài đặt phần mềm độc hại dẫn đến đánh cắp dữ liệu.
Như Google chỉ ra, lỗ hổng này đã bị tin tặc khai thác tích cực "một cách có mục tiêu và hạn chế". Tin tặc đã sử dụng nó để tấn công các mục tiêu cụ thể. Đây không phải là một cuộc tấn công quy mô lớn. Tuy nhiên, chúng tôi khuyên bạn nên cài đặt các bản vá ngay khi chúng có sẵn trên thiết bị Android của bạn.
Một lỗi trong mô-đun Qualcomm
Đồng thời, Google cũng đang sửa một lỗ hổng nghiêm trọng trong thành phần WLAN (Mạng cục bộ không dây) của Qualcomm. Theo Qualcomm giải thích, đây là sự cố hỏng bộ nhớ xảy ra do lỗi trong chương trình cơ sở của linh kiện. Lỗi này liên quan đến cách thiết bị xử lý một số thông tin nhất định được gửi qua mạng Wi-Fi.
Thông qua lỗ hổng này, tin tặc có thể thực thi mã độc, sửa đổi dữ liệu trong bộ nhớ hoặc khiến điện thoại thông minh bị sập mà không cần bất kỳ quyền đặc biệt hoặc bất kỳ tương tác nào từ người dùng. Dễ thực hiện, cuộc tấn công cho phép hệ điều hành bị xâm nhập từ xa một cách nhanh chóng.
Google đã phát hành hai bản vá bảo mật vào tháng 2 năm 2025. Ngoài bản vá thông thường, còn có các bản sửa lỗi bổ sung cho một số thành phần của bên thứ ba và hạt nhân. Không phải tất cả các thiết bị Android đều bị ảnh hưởng bởi những bản sửa lỗi bổ sung này. Google giải thích rằng phương pháp này cung cấp cho các nhà sản xuất "khả năng khắc phục nhanh hơn một tập hợp các lỗi tương tự trên tất cả các thiết bị Android".
Để kiểm tra xem bản vá đã có trên điện thoại thông minh của bạn hay chưa, chỉ cần vào menu Cài đặt, sau đó đến phần Giới thiệu về thiết bị và đến Cập nhật phần mềm. Nếu có bản cập nhật, chỉ cần nhấp vào Chạy cập nhật để cài đặt.
Nguồn: Android.com
