TrendMicro Company informacije o ranjivosti (CVE nije dodijeljen) u upravljačkom programu , koji omogućava neprivilegovanom lokalnom korisniku da izvrši svoj kod u kontekstu Linux kernela. Informacije o ranjivosti date su u kontekstu Android platforme, bez detalja da li je ovaj problem specifičan za Android kernel ili se javlja iu običnom Linux kernelu.
Da bi iskoristio ranjivost, napadaču je potreban lokalni pristup sistemu. U Androidu, da biste napali, prvo morate steći kontrolu nad neprivilegovanom aplikacijom koja ima ovlaštenje za pristup V4L (Video za Linux) podsistemu, na primjer, program kamere. Najrealnija upotreba ranjivosti u Androidu je uključivanje eksploatacije u zlonamjerne aplikacije koje su pripremili napadači da eskaliraju privilegije na uređaju.
Ranjivost u ovom trenutku ostaje neotkrivena. Iako je Google obaviješten o problemu u martu, ispravka nije uključena u Android platforme. Septembarska sigurnosna zakrpa za Android popravlja 49 ranjivosti, od kojih su četiri ocijenjene kao kritične. Dvije kritične ranjivosti su riješene u multimedijskom okviru i omogućavaju izvršavanje koda prilikom obrade posebno dizajniranih multimedijalnih podataka. 31 ranjivost je ispravljena u komponentama za Qualcomm čipove, od kojih su dvije ranjivosti dodijeljene kritičnom nivou, što omogućava daljinski napad. Preostali problemi su označeni kao opasni, tj. omogućavaju, kroz manipulaciju lokalnim aplikacijama, izvršavanje koda u kontekstu privilegovanog procesa.
izvor: opennet.ru