TrendMicro kompaniyasi drayverdagi zaiflik (CVE tayinlanmagan) haqida ma'lumot , bu imtiyozga ega bo'lmagan mahalliy foydalanuvchiga Linux yadrosi kontekstida o'z kodini bajarishga imkon beradi. Zaiflik haqidagi ma'lumotlar Android platformasi kontekstida taqdim etiladi, bu muammo Android yadrosiga xosmi yoki oddiy Linux yadrosida ham paydo bo'ladimi, batafsil ma'lumot berilmaydi.
Zaiflikdan foydalanish uchun tajovuzkor tizimga mahalliy kirishni talab qiladi. Android-da hujum qilish uchun avval V4L (Linux uchun video) quyi tizimiga kirish huquqiga ega bo'lgan imtiyozsiz dasturni, masalan, kamera dasturini boshqarishingiz kerak. Androidda zaiflikdan eng real foydalanish bu qurilmadagi imtiyozlarni kuchaytirish uchun tajovuzkorlar tomonidan tayyorlangan zararli ilovalarga ekspluatatsiyani kiritishdir.
Zaiflik hozircha tuzatilmagan. Mart oyida Google muammo haqida xabardor qilingan bo'lsa ham, tuzatish kiritilmagan Android platformalari. Sentyabr oyidagi Android xavfsizlik patchi 49 ta zaiflikni tuzatadi, ulardan toβrttasi muhim deb baholanadi. Multimedia tizimida ikkita muhim zaiflik ko'rib chiqildi va maxsus ishlab chiqilgan multimedia ma'lumotlarini qayta ishlashda kodni bajarishga imkon beradi. Qualcomm chiplari uchun komponentlarda 31 ta zaiflik aniqlangan, ulardan ikkita zaiflik kritik darajaga ega boβlib, masofadan hujum qilish imkonini beradi. Qolgan muammolar xavfli deb belgilangan, ya'ni. mahalliy ilovalarni manipulyatsiya qilish orqali imtiyozli jarayon kontekstida kodni bajarishga ruxsat berish.
Manba: opennet.ru