ТрендМикро компанија информации за ранливоста (CVE не е доделена) во возачот , што му овозможува на непривилегираниот локален корисник да го изврши својот код во контекст на кернелот на Линукс. Информациите за ранливоста се обезбедени во контекст на Android платформата, без детали дали овој проблем е специфичен за кернелот на Android или дали се појавува и во редовниот Linux кернел.
За да ја искористи ранливоста, напаѓачот бара локален пристап до системот. Во Android, за напад, прво треба да стекнете контрола над непривилегирана апликација која има овластување да пристапи до потсистемот V4L (Видео за Linux), на пример, програма за камера. Најреалната употреба на ранливоста во Андроид е да се вклучи експлоатација во малициозни апликации подготвени од напаѓачите за зголемување на привилегиите на уредот.
Ранливоста останува незакрпена во овој момент. Иако Google беше известен за проблемот во март, поправка не беше вклучена во Андроид платформи. Септемвриската безбедносна закрпа за Android поправа 49 пропусти, од кои четири се оценети како критични. Две критични пропусти се адресирани во мултимедијалната рамка и овозможуваат извршување на кодот при обработка на специјално дизајнирани мултимедијални податоци. Поправени се 31 ранливост во компонентите за чиповите на Qualcomm, од кои на две пропусти им е доделено критично ниво, што овозможува далечински напад. Останатите проблеми се означени како опасни, т.е. овозможи, преку манипулација со локални апликации, да се изврши код во контекст на привилегиран процес.
Извор: opennet.ru