TrendMicro cég információk az illesztőprogram sebezhetőségéről (CVE nincs hozzárendelve). , amely lehetővé teszi a jogosulatlan helyi felhasználók számára, hogy a Linux kernel kontextusában hajtsák végre a kódjukat. A sérülékenységgel kapcsolatos információkat az Android platform kontextusában közöljük, anélkül, hogy részleteznénk, hogy ez a probléma az Android kernelre jellemző, vagy a normál Linux kernelben is előfordul.
A biztonsági rés kihasználásához a támadónak helyi hozzáférésre van szüksége a rendszerhez. Androidban a támadáshoz először egy olyan előnytelen alkalmazás felett kell az irányítást megszerezni, amely jogosult a V4L (Video for Linux) alrendszer elérésére, például egy kameraprogramra. Az Android sérülékenységének legrealisztikusabb módja az, ha a támadók által előkészített rosszindulatú alkalmazásokba kizsákmányolják az eszköz jogosultságait.
A sérülékenységet jelenleg nem javították ki. Annak ellenére, hogy a Google-t márciusban értesítették a problémáról, a javítás nem szerepelt Android platformok. A szeptemberi Android biztonsági javítás 49 sebezhetőséget javít ki, amelyek közül négy kritikusnak minősül. A multimédiás keretrendszer két kritikus sérülékenységét orvosolták, amelyek kódfuttatást tesznek lehetővé speciálisan tervezett multimédiás adatok feldolgozásakor. 31 sebezhetőséget javítottak ki a Qualcomm chipek összetevőiben, amelyek közül két sérülékenység kritikus szintet kapott, ami lehetővé teszi a távoli támadást. A fennmaradó problémákat veszélyesnek jelölik, pl. lehetővé teszi a helyi alkalmazások manipulálásával kód futtatását egy privilegizált folyamat keretében.
Forrás: opennet.ru