ట్రెండ్మైక్రో కంపెనీ డ్రైవర్లోని దుర్బలత్వం (CVE కేటాయించబడలేదు) గురించిన సమాచారం , ఇది లైనక్స్ కెర్నల్ సందర్భంలో వారి కోడ్ను అమలు చేయడానికి ఒక అన్ప్రివిలేజ్డ్ స్థానిక వినియోగదారుని అనుమతిస్తుంది. ఈ సమస్య ఆండ్రాయిడ్ కెర్నల్కు సంబంధించినదా లేదా సాధారణ లైనక్స్ కెర్నల్లో కూడా సంభవిస్తుందా అనే వివరాలు లేకుండా, ఆండ్రాయిడ్ ప్లాట్ఫారమ్ సందర్భంలో దుర్బలత్వం గురించి సమాచారం అందించబడింది.
దుర్బలత్వాన్ని ఉపయోగించుకోవడానికి, దాడి చేసే వ్యక్తికి సిస్టమ్కి స్థానిక యాక్సెస్ అవసరం. Androidలో, దాడి చేయడానికి, మీరు ముందుగా V4L (Linux కోసం వీడియో) సబ్సిస్టమ్ను యాక్సెస్ చేయడానికి అధికారం కలిగి ఉన్న అప్రివిలేజ్డ్ అప్లికేషన్పై నియంత్రణను పొందాలి, ఉదాహరణకు, కెమెరా ప్రోగ్రామ్. ఆండ్రాయిడ్లో దుర్బలత్వం యొక్క అత్యంత వాస్తవిక ఉపయోగం ఏమిటంటే, పరికరంలో అధికారాలను పెంచడానికి దాడి చేసేవారు తయారు చేసిన హానికరమైన అప్లికేషన్లలో దోపిడీని చేర్చడం.
ఈ సమయంలో దుర్బలత్వం అస్పష్టంగానే ఉంది. మార్చిలో సమస్య గురించి Googleకి తెలియజేయబడినప్పటికీ, పరిష్కారంలో చేర్చబడలేదు ఆండ్రాయిడ్ ప్లాట్ఫారమ్లు. సెప్టెంబర్ ఆండ్రాయిడ్ సెక్యూరిటీ ప్యాచ్ 49 దుర్బలత్వాలను పరిష్కరిస్తుంది, వాటిలో నాలుగు క్లిష్టమైనవిగా రేట్ చేయబడ్డాయి. మల్టీమీడియా ఫ్రేమ్వర్క్లో రెండు క్లిష్టమైన దుర్బలత్వాలు పరిష్కరించబడ్డాయి మరియు ప్రత్యేకంగా రూపొందించిన మల్టీమీడియా డేటాను ప్రాసెస్ చేస్తున్నప్పుడు కోడ్ అమలును అనుమతిస్తాయి. Qualcomm చిప్ల కోసం భాగాలలో 31 దుర్బలత్వాలు పరిష్కరించబడ్డాయి, వీటిలో రెండు దుర్బలత్వాలు రిమోట్ దాడిని అనుమతించే క్లిష్టమైన స్థాయిని కేటాయించబడ్డాయి. మిగిలిన సమస్యలు ప్రమాదకరమైనవిగా గుర్తించబడ్డాయి, అనగా. ప్రత్యేక ప్రాసెస్ సందర్భంలో కోడ్ని అమలు చేయడానికి, స్థానిక అప్లికేషన్లను తారుమారు చేయడం ద్వారా అనుమతించండి.
మూలం: opennet.ru