Google 发布了 2 月份的 Android 安全更新,其中包含一个高危的内核级漏洞修复,该漏洞疑似已被用于定向攻击。
这个漏洞 (CVE-2024-53104) 是 Linux 内核中 USB 视频类驱动程序代码的一个有趣缺陷。关于这个漏洞的细节不多,修复方案是跳过未定义视频帧的解析,否则内核会写入不应访问的内存区域,这可能导致设备崩溃或被完全劫持。
有趣的是,这段驱动程序代码主要用于处理 USB 摄像头和类似的视频源。因此,攻击可能涉及连接某些恶意硬件,将错误数据输入系统。Google 表示该漏洞可以实现"无需额外执行权限的物理权限提升",这听起来像是有人可以插入恶意设备(可能是执法部门使用的设备)到易受攻击的 Android 设备并接管它。非常令人好奇。
Google 在其公告中表示:"有迹象表明 CVE-2024-53104 可能正在被有限的、定向的攻击所利用。" 我们注意到去年年底已接受了一个修复开源内核中这个漏洞的补丁。
在 Google 本月推送的 46 个补丁中,只有一个被评为"严重"级别:CVE-2024-45569,CVSS 评分为 9.8(满分 10 分)。这个漏洞是高通无线局域网栈中一个经典的数组长度检查失败问题,通过处理空中的网络管理帧触发,允许实现特权远程代码执行或使设备崩溃。这很严重。
Google 指出公告中所有其他漏洞的严重程度都是"高"。另一个内核问题 CVE-2025-0088 解决了一个系统页表可能被更改的竞态条件问题,恶意应用程序可能利用该漏洞获得设备控制权。
总的来说,高通设备获得了 10 个补丁,其中 4 个与其相机驱动程序有关。联发科设备收到 5 个补丁,Imagination Technologies 收到 4 个补丁,后者都是针对其 PowerVR-GPU 引擎的。
与 Android 补丁一贯的情况一样,Google Pixel 移动平台的用户将首先获得更新下载机会,其他制造商会随后跟进。三星刚刚发布了其 1 月份的补丁,一些制造商甚至更晚。
导航 Netgear 警报
本周不仅 Android 用户需要打补丁。Netgear 发布了几个针对未经身份验证的远程代码执行和身份验证绕过漏洞的关键修复。
其 Nighthawk 游戏路由器系列中的三款机型需要固件更新,包括 XR1000、XR1000v2 和 XR500 型号都受到影响。Netgear 警告说,这个未经身份验证的远程代码执行漏洞 (CVSS 9.8) 可能允许攻击者控制未打补丁的设备。这个发现来自 Netgear 的 Bug Crowd 漏洞赏金计划。
此外,Netgear 的三款 Wi-Fi 6 接入点 - WAX206、WAX214v2 和 WAX220 - 需要紧急修复一个严重的身份验证绕过漏洞,CVSS 评分为 9.6。
Netgear 敦促用户立即通过其 Orbi、Nighthawk 或 Insight 应用程序进行修补。
好文章,需要你的鼓励
邻里社交应用Nextdoor推出重新设计版本,新增本地新闻、实时警报和名为"Faves"的AI功能,用于发现本地商户和地点。该应用与3500家本地出版商合作提供新闻内容,通过Samdesk和Weather.com提供天气、交通、停电等实时警报。Faves功能利用15年邻里对话数据训练的大语言模型,为用户提供本地化AI推荐服务,帮助用户找到最佳餐厅、徒步地点等本地信息。
Skywork AI推出的第二代多模态推理模型R1V2,通过创新的混合强化学习方法,成功解决了AI"慢思考"策略在视觉推理中的挑战。该模型在保持强大推理能力的同时有效控制视觉幻觉,在多项权威测试中超越同类开源模型,某些指标甚至媲美商业产品,为开源AI发展树立了新标杆。
英国生物银行完成了世界上最大规模的全身成像项目,收集了10万名志愿者的超过10亿次扫描数据,用于研究人体衰老和疾病过程。该项目历时11年,每次扫描耗时5小时,投资6200万英镑。目前已有8万人的成像数据供全球研究人员使用,剩余数据将于年底前发布。项目已开发出能预测38种常见疾病的AI工具,并在心脏病、痴呆症和癌症诊断方面取得突破。
这项由北京大学等多所高校联合完成的研究,首次对OpenAI GPT-4o的图像生成能力进行了全面评估。研究团队设计了名为GPT-ImgEval的综合测试体系,从文本转图像、图像编辑和知识驱动创作三个维度评估GPT-4o,发现其在所有测试中都显著超越现有方法。研究还通过技术分析推断GPT-4o采用了自回归与扩散相结合的混合架构,并发现其生成图像仍可被现有检测工具有效识别,为AI图像生成领域提供了重要的评估基准和技术洞察。