Empresa TrendMicro informació sobre la vulnerabilitat (CVE no assignat) al controlador , que permet a un usuari local sense privilegis executar el seu codi en el context del nucli Linux. La informació sobre la vulnerabilitat es proporciona en el context de la plataforma Android, sense detallar si aquest problema és específic del nucli d'Android o si també es produeix al nucli normal de Linux.
Per explotar la vulnerabilitat, l'atacant requereix accés local al sistema. A Android, per atacar, primer cal tenir el control d'una aplicació sense privilegis que tingui l'autoritat per accedir al subsistema V4L (Vídeo per a Linux), per exemple, un programa de càmera. L'ús més realista d'una vulnerabilitat a Android és incloure un exploit en aplicacions malicioses preparades pels atacants per augmentar els privilegis del dispositiu.
La vulnerabilitat continua sense pegar en aquest moment. Tot i que Google va rebre una notificació del problema al març, no s'hi va incloure cap solució plataformes Android. El pegat de seguretat d'Android de setembre corregeix 49 vulnerabilitats, de les quals quatre es classifiquen com a crítiques. S'han abordat dues vulnerabilitats crítiques al marc multimèdia i permeten l'execució de codi quan es processen dades multimèdia dissenyades especialment. S'han corregit 31 vulnerabilitats als components dels xips Qualcomm, de les quals dues vulnerabilitats se'ls ha assignat un nivell crític, que permet un atac remot. La resta de problemes es marquen com a perillosos, és a dir. permetre, mitjançant la manipulació d'aplicacions locals, executar codi en el context d'un procés privilegiat.
Font: opennet.ru