TrendMicro-bedrijf informatie over de kwetsbaarheid (CVE niet toegewezen) in het stuurprogramma , waarmee een lokale gebruiker zonder rechten zijn code kan uitvoeren in de context van de Linux-kernel. Informatie over de kwetsbaarheid wordt gegeven in de context van het Android-platform, zonder dat wordt aangegeven of dit probleem specifiek is voor de Android-kernel of dat het ook voorkomt in de reguliere Linux-kernel.
Om de kwetsbaarheid te kunnen misbruiken heeft de aanvaller lokale toegang tot het systeem nodig. Om aan te vallen moet je in Android eerst controle krijgen over een applicatie zonder privileges die de bevoegdheid heeft om toegang te krijgen tot het V4L-subsysteem (Video voor Linux), bijvoorbeeld een cameraprogramma. Het meest realistische gebruik van een kwetsbaarheid in Android is het opnemen van een exploit in kwaadaardige applicaties die door aanvallers zijn voorbereid om de bevoegdheden op het apparaat te escaleren.
De kwetsbaarheid is op dit moment nog niet verholpen. Hoewel Google in maart op de hoogte werd gesteld van het probleem, was er geen oplossing opgenomen in de oplossing Android-platforms. De Android-beveiligingspatch van september lost 49 kwetsbaarheden op, waarvan er vier als kritiek worden beoordeeld. Twee kritieke kwetsbaarheden zijn aangepakt in het multimediaframework en maken het uitvoeren van code mogelijk bij het verwerken van speciaal ontworpen multimediagegevens. Er zijn 31 kwetsbaarheden opgelost in componenten voor Qualcomm-chips, waarvan twee kwetsbaarheden een kritiek niveau hebben gekregen, waardoor een aanval op afstand mogelijk is. De resterende problemen worden als gevaarlijk gemarkeerd, d.w.z. maken het mogelijk om, door middel van manipulatie van lokale applicaties, code uit te voeren in de context van een bevoorrecht proces.
Bron: opennet.ru