Syarikat TrendMicro maklumat tentang kelemahan (CVE tidak diberikan) dalam pemandu , yang membenarkan pengguna tempatan yang tidak mempunyai hak untuk melaksanakan kod mereka dalam konteks kernel Linux. Maklumat tentang kerentanan disediakan dalam konteks platform Android, tanpa memperincikan sama ada masalah ini khusus untuk kernel Android atau sama ada ia juga berlaku dalam kernel Linux biasa.
Untuk mengeksploitasi kelemahan, penyerang memerlukan akses tempatan kepada sistem. Dalam Android, untuk menyerang, anda perlu mengawal aplikasi yang tidak mempunyai hak istimewa yang mempunyai kuasa untuk mengakses subsistem V4L (Video untuk Linux), sebagai contoh, program kamera. Penggunaan kerentanan yang paling realistik dalam Android ialah memasukkan eksploitasi dalam aplikasi berniat jahat yang disediakan oleh penyerang untuk meningkatkan keistimewaan pada peranti.
Kerentanan masih belum dapat diatasi pada masa ini. Walaupun Google telah dimaklumkan tentang isu itu pada bulan Mac, pembetulan tidak disertakan dalam platform Android. Patch keselamatan Android September membetulkan 49 kelemahan, di mana empat daripadanya dinilai sebagai kritikal. Dua kelemahan kritikal telah ditangani dalam rangka kerja multimedia dan membenarkan pelaksanaan kod apabila memproses data multimedia yang direka khas. 31 kelemahan telah diperbaiki dalam komponen untuk cip Qualcomm, yang mana dua kelemahan telah ditetapkan pada tahap kritikal, membolehkan serangan jauh. Masalah yang selebihnya ditandakan sebagai berbahaya, i.e. membenarkan, melalui manipulasi aplikasi tempatan, untuk melaksanakan kod dalam konteks proses istimewa.
Sumber: opennet.ru