Deltagere i initiativet Google projekt Zero Day (TÆNK) offentliggjort oplysninger om en 0-dages sårbarhed, der kan give mulighed for lokal rettighedsforøgelse i Android.
ENccording til beskrivelsen i ZDI blog, en farlig sårbarhed er til stede i v4l2 chauffør (Video4Linux 2), som giver mulighed for audio og video capture til en Linux familie af OS. Som det viste sig, denne API ”ikke kontrollere dets eksistens indtil operationer udføres på objektet.”Som resultat, hvis du har fysisk adgang til Android-enhed, en hacker kan øge privilegier i forbindelse med kernen og tage kontrol over systemet.
”For at udnytte sårbarheden, hackeren skal kunne eksekvere lav privilegium kode på målet system”, - skriver forskerne.
Nærmere oplysninger om koden, og hvordan angrebet gennemføres ikke rapporteres. Sværhedsgraden af sårbarheden er vurderet ved 7.8 på en CVSS skala.
En rapport om den blev sendt til Google næsten seks måneder siden, I midten af marts. Udvikleren bekræftede sårbarheden og lovede at forberede en patch, selvom timingen for dens udgivelse ikke er tildelt. Da plasteret dukkede aldrig, forskerne besluttede at afsløre en farlig fund.
”I betragtning af arten af sårbarhed, den eneste frelse hidtil er at begrænse interaktion med tjenesten. Du kan kun tillade det for klienter og servere, der er forbundet med det med lovlige procedurer. Denne begrænsning kan indføres i en række forskellige måder, især ved hjælp af firewall-regler eller whitelisting”, – sige ZDI forskere.
Denne sårbarhed blev frigivet efter offentliggørelsen af det næste sæt af patches til Android. uheldigvis, var der ingen nødvendig plaster på det igen.
På tirsdag, september 3, Google annonceret fjernelse af 15 farlige bugs i sit OS til mobile enheder. Blandt andre, to kritiske sårbarheder i fjernkørsel af programkode i de mediateker indgår som led Medier blev lappet. Ifølge udviklerens bulletin, driften af CVE-2019-2176 og CVE-2019-2108 tillader brug af en specielt oprettet fil at udføre vilkårlig kode i forbindelse med en privilegeret proces.
Komponenterne i ramme er lukket fem høj-risiko sårbarheder; fire af dem true rettighedsforøgelse, en – videregivelse af fortrolige oplysninger. Fem lignende fejl blev annonceret i System; den sjette (CVE-2019-2177) tilladt fjernstyre eksekvere nogen kode i systemet.
Den nye Google nyhedsbrev informerer også brugerne om afskaffelsen af to sårbarheder i komponenterne i NVIDIA produktion og omkring tre dusin i Qualcomm produkter. Vedrørende sidstnævntes, den farligste til Android er CVE-2019-10.533 og CVE-2019-2258 der var indeholdt i Closed-source komponenter.
”LGE har udgivet et sæt lapper som en del af den månedlige Android sikkerhedsopdatering program. Af de faste sårbarheder, den alvorligste er en kritisk fejl i rammen medier”, – sagde LG selskab.
opdateringer September til Android-enheder på samme tid annonceret af Samsung. Et nyt plaster sæt dækker sårbarheder, der er nævnt i Google Nyhedsbrev, samt et dusin bugs specifikke Samsung produkter.
