Společnost TrendMicro informace o zranitelnosti (CVE není přiřazen) v ovladači , který umožňuje neprivilegovanému místnímu uživateli spouštět svůj kód v kontextu linuxového jádra. Informace o zranitelnosti jsou poskytovány v kontextu platformy Android, aniž by bylo upřesněno, zda je tento problém specifický pro jádro Android nebo zda se vyskytuje také v běžném linuxovém jádře.
Aby mohl útočník tuto chybu zabezpečení zneužít, vyžaduje místní přístup do systému. Chcete-li v systému Android zaútočit, musíte nejprve získat kontrolu nad neprivilegovanou aplikací, která má oprávnění přistupovat k subsystému V4L (Video pro Linux), například k programu pro fotoaparáty. Nejrealističtějším využitím zranitelnosti v Androidu je zahrnutí exploitu do škodlivých aplikací připravených útočníky k eskalaci oprávnění na zařízení.
Chyba zabezpečení zůstává v tuto chvíli neopravena. I když byl Google na problém upozorněn v březnu, oprava nebyla zahrnuta platformy Android. Zářijová bezpečnostní oprava Androidu opravuje 49 zranitelností, z nichž čtyři jsou hodnoceny jako kritické. V multimediálním rámci byly vyřešeny dvě kritické zranitelnosti a umožňují spuštění kódu při zpracování speciálně navržených multimediálních dat. V komponentách pro čipy Qualcomm bylo opraveno 31 zranitelností, z nichž dvěma byla přiřazena kritická úroveň umožňující vzdálený útok. Zbývající problémy jsou označeny jako nebezpečné, tzn. umožňují prostřednictvím manipulace s místními aplikacemi spouštět kód v kontextu privilegovaného procesu.
Zdroj: opennet.ru