TrendMicro fyrirtæki upplýsingar um varnarleysið (CVE ekki úthlutað) í bílstjóranum , sem gerir staðbundnum notanda án forréttinda að keyra kóðann sinn í samhengi við Linux kjarnann. Upplýsingar um varnarleysið eru veittar í samhengi við Android vettvang, án þess að tilgreina hvort þetta vandamál sé sérstakt fyrir Android kjarnann eða hvort það eigi sér einnig stað í venjulegum Linux kjarna.
Til að nýta veikleikann þarf árásarmaðurinn staðbundinn aðgang að kerfinu. Í Android, til að ráðast á, þarftu fyrst að ná stjórn á forréttindaforriti sem hefur heimild til að fá aðgang að V4L (Video for Linux) undirkerfinu, til dæmis myndavélarforriti. Raunhæfasta notkunin á varnarleysi í Android er að fela í sér hagnýtingu í skaðlegum forritum sem árásarmenn hafa búið til til að auka réttindi á tækinu.
Varnarleysið er enn óuppfært á þessum tíma. Jafnvel þó að Google hafi verið tilkynnt um málið í mars, var lagfæring ekki innifalin í Android pallur. Android öryggisplásturinn í september lagar 49 veikleika, þar af eru fjórir metnir mikilvægir. Tveir mikilvægir veikleikar hafa verið teknir upp í margmiðlunarrammanum og gera það kleift að keyra kóða þegar unnið er með sérhönnuð margmiðlunargögn. 31 veikleiki hefur verið lagaður í íhlutum fyrir Qualcomm flís, þar af tveimur veikleikum sem hafa verið úthlutað mikilvægu stigi, sem gerir ráð fyrir fjarárás. Þau vandamál sem eftir eru eru merkt hættuleg, þ.e. leyfa, með því að nota staðbundin forrit, að keyra kóða í samhengi við forréttindaferli.
Heimild: opennet.ru