趨勢科技公司 有關驅動程式中的漏洞(未分配 CVE)的信息 ,它允許非特權本地用戶在 Linux 核心的上下文中執行他們的程式碼。 有關該漏洞的資訊是在 Android 平台上下文中提供的,但沒有詳細說明該問題是否特定於 Android 內核,或者是否也出現在常規 Linux 內核中。
要利用此漏洞,攻擊者需要對系統進行本地存取。 在Android中,要進行攻擊,首先需要獲得對具有存取V4L(Video for Linux)子系統權限的非特權應用程式的控制權,例如攝影機程式。 Android 中漏洞最實際的用途是在攻擊者準備的惡意應用程式中包含漏洞,以提升裝置上的權限。
目前該漏洞仍未修補。 儘管谷歌在三月就收到了有關該問題的通知,但修復程序並未包含在其中 安卓平台。 49 月的 Android 安全修補程式修復了 31 個漏洞,其中 XNUMX 個被評為嚴重漏洞。 多媒體框架中的兩個關鍵漏洞已解決,並允許在處理專門設計的多媒體資料時執行程式碼。 高通晶片組件中已修復XNUMX個漏洞,其中兩個漏洞已被指定為嚴重級別,允許遠端攻擊。 剩下的問題被標記為危險的,即允許透過操縱本機應用程式在特權進程的上下文中執行程式碼。
來源: opennet.ru