Podjetje TrendMicro informacije o ranljivosti (CVE ni dodeljen) v gonilniku , ki neprivilegiranemu lokalnemu uporabniku omogoča izvajanje kode v kontekstu jedra Linuxa. Informacije o ranljivosti so podane v kontekstu platforme Android, brez podrobnosti, ali je ta težava specifična za jedro Android ali pa se pojavlja tudi v običajnem jedru Linuxa.
Za izkoriščanje ranljivosti napadalec potrebuje lokalni dostop do sistema. V Androidu morate za napad najprej pridobiti nadzor nad neprivilegirano aplikacijo, ki ima pooblastilo za dostop do podsistema V4L (Video for Linux), na primer program kamere. Najbolj realistična uporaba ranljivosti v sistemu Android je vključitev izkoriščanja v zlonamerne aplikacije, ki jih pripravijo napadalci za povečanje privilegijev v napravi.
Ranljivost trenutno ostaja nepopravljena. Čeprav je bil Google o težavi obveščen marca, popravek ni bil vključen v Android platforme. Septembrski varnostni popravek za Android odpravlja 49 ranljivosti, od katerih so štiri ocenjene kot kritične. Dve kritični ranljivosti sta bili obravnavani v multimedijskem ogrodju in omogočata izvajanje kode pri obdelavi posebej oblikovanih multimedijskih podatkov. V komponentah za čipe Qualcomm je bilo odpravljenih 31 ranljivosti, od katerih je bila dvema ranljivostima dodeljena kritična raven, ki omogoča napad na daljavo. Preostale težave so označene kot nevarne, tj. omogočajo, da z manipulacijo lokalnih aplikacij izvajajo kodo v kontekstu privilegiranega procesa.
Vir: opennet.ru