Deelnemers aan het Google-project Zero Day Initiative (DENKEN) gepubliceerd details van een 0-day kwetsbaarheid die lokale privilege escalatie in Android kan leiden.
EENolgens de beschrijving in de ZDI blog, een gevaarlijke kwetsbaarheid is aanwezig in de V4L2 driver (Video4Linux 2), die voorziet in de mogelijkheid van audio- en video-opname voor een Linux familie van OS. Het bleek dat, deze API “niet het bestaan ervan controleren totdat bewerkingen worden uitgevoerd op het object.”Als gevolg, als u fysieke toegang tot de Android-toestel, kan een aanvaller privileges te verhogen in het kader van de kernel en de controle van het systeem.
“Om het beveiligingslek misbruiken, de aanvaller moet in staat zijn om laag privilege code uit te voeren op het doelsysteem”, - schrijven de onderzoekers.
Details van de code en hoe de aanval wordt uitgevoerd niet wordt gerapporteerd. De ernst van de kwetsbaarheid wordt op 7.8 op een schaal CVSS.
Een verslag over het werd bijna zes maanden geleden bij Google zijn ingediend, Medio maart. De ontwikkelaar bevestigde de kwetsbaarheid en beloofde een patch voor te bereiden, hoewel de timing van de afgifte niet wordt toegekend. Aangezien de patch nooit verschenen, de onderzoekers besloten om een gevaarlijke vondst onthullen.
“Gezien de aard van de kwetsbaarheid, de enige redding is tot nu toe om de interactie te beperken met de service. U kunt alleen toestaan voor clients en servers in verband met het met legitieme procedures. Deze beperking kan op verschillende manieren worden ingevoerd, in het bijzonder het gebruik van firewall-regels of whitelisting”, – zeggen ZDI onderzoekers.
Deze kwetsbaarheid werd vrijgegeven na de publicatie van de volgende set van patches voor Android. helaas, Er was geen noodzakelijk patch weer.
Op dinsdag, september 3, Google bekend gemaakt het verwijderen van 15 gevaarlijke bugs in het besturingssysteem voor mobiele apparaten. Onder andere, twee kritieke kwetsbaarheden van het uitvoeren van externe code in de mediatheken in de Media kader werden gepatcht. Volgens bulletin van de ontwikkelaar, de werking van CVE-2019-2176 En CVE-2019-2108 maakt gebruik van een speciaal bestand willekeurige code uitvoeren in de context van een bevoorrechte werkwijze.
De componenten van het Framework zijn gesloten vijf hoog risico kwetsbaarheden; vier van hen bedreigen privilege escalatie, een – openbaarmaking van vertrouwelijke informatie. Vijf soortgelijke bugs werden aangekondigd in System; de zesde (CVE-2019-2177) mag een code op afstand uit te voeren in het systeem.
De nieuwe Google nieuwsbrief informeert gebruikers ook over de eliminatie van twee kwetsbaarheden in de componenten van NVIDIA productie en ongeveer drie dozijn in Qualcomm producten. Betreffende laatstgenoemde, de meest gevaarlijke voor Android zijn CVE-2019-10.533 En CVE-2019-2258 die waren opgenomen in Closed-broncomponenten.
“LGE heeft een reeks patches uitgebracht als onderdeel van de maandelijkse update-programma Android security. Van de vaste kwetsbaarheden, de meest ernstige is een kritieke fout in de Media kader”, – zei LG bedrijf.
September updates voor Android-apparaten op hetzelfde moment bekend gemaakt door Samsung. Een nieuwe patch set heeft betrekking op de in de Google nieuwsbrief genoemde kwetsbaarheden, evenals een dozijn bugs die specifiek zijn voor Samsung producten.
