Perusahaan TrendMicro inpormasi ngeunaan kerentanan (CVE henteu ditugaskeun) dina supir , nu ngidinan pamaké lokal unprivileged sangkan ngaéksekusi kode maranéhanana dina konteks kernel Linux Ubuntu. Inpormasi ngeunaan kerentanan disayogikeun dina kontéks platform Android, tanpa detil naha masalah ieu khusus pikeun kernel Android atanapi naha éta ogé lumangsung dina kernel Linux biasa.
Pikeun ngamangpaatkeun kerentanan, panyerang butuh aksés lokal kana sistem. Dina Android, pikeun nyerang, Anjeun mimitina kudu meunang kadali hiji aplikasi unprivileged nu boga wewenang pikeun ngakses V4L (Video pikeun Linux Ubuntu) subsistem, contona, program kaméra. Panggunaan kerentanan anu paling realistis dina Android nyaéta kalebet eksploitasi dina aplikasi jahat anu disiapkeun ku panyerang pikeun ningkatkeun hak husus dina alat.
Kerentanan tetep teu ditambal dina waktos ayeuna. Sanaos Google dibéjakeun ngeunaan masalah éta dina Maret, perbaikan henteu kalebet kana platform Android. Patch kaamanan Android Séptémber ngalereskeun 49 kerentanan, anu opat dipeunteun salaku kritis. Dua kerentanan kritis parantos kajawab dina kerangka multimédia sareng ngamungkinkeun palaksanaan kode nalika ngolah data multimedia anu dirarancang khusus. 31 kerentanan parantos dibenerkeun dina komponén pikeun chip Qualcomm, dimana dua kerentanan parantos ditugaskeun tingkat kritis, ngamungkinkeun pikeun serangan jarak jauh. Masalah sésana ditandaan bahaya, i.e. ngidinan, ngaliwatan manipulasi aplikasi lokal, sangkan ngaéksekusi kode dina konteks prosés husus.
sumber: opennet.ru