Spoločnosť TrendMicro informácie o zraniteľnosti (CVE nepriradené) v ovládači , ktorý umožňuje neprivilegovanému lokálnemu používateľovi spustiť svoj kód v kontexte linuxového jadra. Informácie o zraniteľnosti sa poskytujú v kontexte platformy Android bez toho, aby sa podrobne uvádzalo, či je tento problém špecifický pre jadro systému Android alebo či sa vyskytuje aj v bežnom jadre Linuxu.
Aby útočník zneužil túto zraniteľnosť, vyžaduje lokálny prístup do systému. Ak chcete v systéme Android zaútočiť, musíte najprv získať kontrolu nad neprivilegovanou aplikáciou, ktorá má oprávnenie na prístup k subsystému V4L (Video pre Linux), napríklad k programu pre fotoaparáty. Najrealistickejším využitím zraniteľnosti v systéme Android je zahrnutie exploitu do škodlivých aplikácií pripravených útočníkmi na eskaláciu privilégií na zariadení.
Táto chyba zabezpečenia zostáva v súčasnosti neopravená. Aj keď bol Google na problém upozornený v marci, oprava nebola zahrnutá do platformy Android. Septembrová bezpečnostná oprava Androidu opravuje 49 zraniteľností, z ktorých štyri sú hodnotené ako kritické. V multimediálnom rámci boli vyriešené dve kritické zraniteľnosti a umožňujú spustenie kódu pri spracovaní špeciálne navrhnutých multimediálnych údajov. V komponentoch pre čipy Qualcomm bolo opravených 31 zraniteľností, z ktorých dvom bola priradená kritická úroveň umožňujúca vzdialený útok. Zvyšné problémy sú označené ako nebezpečné, t.j. umožňujú prostredníctvom manipulácie s lokálnymi aplikáciami spúšťať kód v kontexte privilegovaného procesu.
Zdroj: opennet.ru