구글 프로젝트 제로 데이 이니셔티브 참가자 (THINK) 출판 안드로이드 로컬 권한 상승을 허용 할 수있는 0 데이 취약점의 세부 사항.
에이ZDI 블로그의 설명에 ccording, 위험한 취약점이 존재하는 V4L2 드라이버 (Video4Linux 및 2), 이는 OS의 리눅스 가족을 위해 오디오 및 비디오 캡처의 가능성을 제공합니다. 그것은 알고 보니, 이 API는 "작업이 개체에 수행 될 때까지 그 존재를 확인하지 않습니다."결과, 당신은 안드로이드 장치에 대한 물리적 액세스 권한이있는 경우, 공격자는 커널의 맥락에서 권한을 증가시키고 시스템을 제어 할 수 있습니다.
"이 취약점을 악용하려면, 공격자는 대상 시스템 "에 낮은 권한 코드를 실행할 수 있어야합니다, - 연구자 작성.
코드의 세부 사항 및 실시 공격은 어떻게보고되지 않습니다. 취약점의 심각도를 평가 받는다 7.8 CVSS 규모.
그것에 보고서는 거의 6 개월 전에 Google에 제출, 월 중순에서. 개발자는 취약점을 확인하고 패치를 준비하는 약속, 출시시기가 할당되지는 않지만. 패치 등장 결코 때문에, 연구진은 위험한 발견을 공개하기로 결정.
"취약점의 성격을 감안할 때, 유일한 구원은 지금까지 서비스와의 상호 작용을 제한하는 것입니다. 당신은 합법적 인 절차와 연결된 클라이언트와 서버를 허용 할 수 있습니다. 이 제한은 다양한 방법으로 도입 될 수, 특히 "방화벽 규칙을 사용하거나 허용 목록, – ZDI 연구원을 말한다.
이 취약점은 안드로이드에 대한 패치의 다음 세트의 발행 후 발표 된. 운수 나쁘게, 거기에 더 필요한 패치는 다시 없었다.
화요일에, 구월 3, 구글 발표 의 제거 15 모바일 기기의 OS에 위험 버그. 그 중에서도, 멀티미디어 라이브러리에 원격 코드 실행의 두 가지 중요한 취약점이 패치 된 미디어 프레임 워크에 포함. 개발자의 게시판에 따라, 의 작동 CVE-2019-2176 과 CVE-2019년에서 2108년까지 특별하게 생성 된 파일을 이용 할 수있는 특권 프로세스의 맥락에서, 임의의 코드를 실행하도록.
또한 읽기: 이틀 신비한 화가 SandboxEscaper 오픈 액세스에 대한 Windows 좀 더 0 - 데이 공격을 게시
프레임 워크의 구성 요소는 다섯 가지 위험이 높은 취약성을 폐쇄; 그 권한 상승을 위협 네, 하나 – 기밀 정보의 공개. 다섯 유사한 버그는 시스템에 발표되었다; 여섯 번째 (CVE-2019년에서 2177년까지) 원격 시스템에서 코드를 실행할 수.
새로운 Google 뉴스 레터는 퀄컴 제품의 NVIDIA 생산의 구성 요소에서이 개 취약점을 제거하고 약 3 다스에 대해 사용자에게 알려줍니다. 후자에 관하여, 가장 위험한 안드로이드는 CVE-2019-10533 과 CVE-2019년에서 2258년까지 그가에 포함 된 기음losed 소스 구성 요소.
"LG 전자는 월별 안드로이드 보안 업데이트 프로그램의 일환으로 패치 세트를 출시했습니다. 고정 된 취약점의, 가장 심각한은 "미디어 프레임 워크에서 중요한 버그, – 말했다 LG 회사.
동시에 안드로이드 장치에 대한 9 월 업데이트 발표 삼성. 새로운 패치 세트는 구글 뉴스에 언급 된 취약점을 커버, 삼성 제품에 고유뿐만 아니라 다스 버그.
