Kompanya sa TrendMicro impormasyon bahin sa kahuyang (CVE wala gi-assign) sa drayber , nga nagtugot sa usa ka dili pribilihiyo nga lokal nga tiggamit sa pagpatuman sa ilang code sa konteksto sa Linux kernel. Ang kasayuran bahin sa pagkahuyang gihatag sa konteksto sa platform sa Android, nga walaβy pagdetalye kung kini nga problema espesipiko sa kernel sa Android o kung kini mahitabo usab sa regular nga kernel sa Linux.
Aron mapahimuslan ang pagkahuyang, ang tig-atake nanginahanglan lokal nga pag-access sa sistema. Sa Android, sa pag-atake, kinahanglan una nimo nga makontrol ang usa ka dili pribilihiyo nga aplikasyon nga adunay awtoridad sa pag-access sa subsystem sa V4L (Video para sa Linux), pananglitan, usa ka programa sa camera. Ang labing realistiko nga paggamit sa usa ka pagkahuyang sa Android mao ang paglakip sa usa ka pagpahimulos sa mga malisyosong aplikasyon nga giandam sa mga tig-atake aron madugangan ang mga pribilehiyo sa aparato.
Ang pagkahuyang nagpabilin nga wala masulbad niining panahona. Bisan kung gipahibalo sa Google ang isyu kaniadtong Marso, ang usa ka pag-ayo wala gilakip sa Mga plataporma sa Android. Ang September Android security patch nag-ayo sa 49 ka mga kahuyangan, diin upat ang gi-rate nga kritikal. Duha ka kritikal nga mga kahuyangan ang natubag sa multimedia framework ug gitugotan ang pagpatuman sa code kung giproseso ang espesyal nga gidisenyo nga datos sa multimedia. Ang 31 nga mga kahuyangan naayo sa mga sangkap alang sa Qualcomm chips, diin duha ka mga kahuyangan ang gi-assign sa usa ka kritikal nga lebel, nga nagtugot sa usa ka hilit nga pag-atake. Ang nahabilin nga mga problema gimarkahan nga peligro, i.e. tugoti, pinaagi sa pagmaniobra sa mga lokal nga aplikasyon, sa pagpatuman sa code sa konteksto sa usa ka pribilihiyo nga proseso.
Source: opennet.ru