Deltakere i Google prosjektet Zero Day Initiative (THINK) publisert detaljer om en sårbarhet 0-dag som gjør at lokale privilegieopptrapping i Android.
ENccording til beskrivelsen i ZDI bloggen, en farlig sårbarhet er til stede i v4l2 driver (Video4Linux 2), som gir mulighet for audio og videoopptak for en Linux familien av OS. Som det viste seg, dette API “ikke bekrefte sin eksistens før operasjonene utføres på objektet.”Som et resultat, hvis du har fysisk tilgang til Android-enhet, en angriper kan øke privilegier i sammenheng med kjernen og ta kontroll over systemet.
“For å utnytte sikkerhetsproblemet, angriperen må kunne utføre lav privilegium kode på målet system”, - forskerne skrive.
Detaljer i koden og hvordan angrepet er utført ikke er rapportert. Alvorlighetsgraden av sårbarhet er vurdert på 7.8 på en CVSS skala.
En rapport om den ble sendt til Google nesten seks måneder siden, i midten av mars. Utbygger bekreftet sårbarhet og lovet å utarbeide en patch, Selv om tidspunktet for dets frigivelse ikke er tilordnet. Siden lappen aldri dukket opp, Forskerne bestemte seg for å avduke en farlig funn.
“Gitt natur av sikkerhetsproblemet, den eneste frelse så langt er å begrense interaksjon med tjenesten. Du kan bare la det for klienter og servere er knyttet til den med legitime prosedyrer. Denne restriksjonen kan innføres på en rekke måter, Spesielt ved bruk av brannmurregler eller hvitelister”, – sier ZDI forskere.
Dette sikkerhetsproblemet ble løslatt etter utgivelsen av det neste settet med oppdateringer for Android. dessverre, det var ingen nødvendig oppdatering i det igjen.
På tirsdag, september 3, Google annonsert fjerning av 15 farlige feil i sitt operativsystem for mobile enheter. Blant andre, to kritiske sårbarheter av ekstern kjøring av kode i multimedia bibliotekene som inngår i Media rammeverket ble lappet. Ifølge utvikleren oppslags, drift av CVE-2019-2176 Og CVE-2019-2108 gjør det mulig ved hjelp av en spesiallaget fil å utføre vilkårlig kode i forbindelse med en gunstig prosess.
Komponentene i rammeverket er lukket fem høyrisikosikkerhetsproblemer; fire av dem truer med opptrapping av privilegier, en – utlevering av konfidensiell informasjon. Fem lignende feil ble annonsert i System; sjette (CVE-2019-2177) lov eksternt utføre noen kode i system.
Den nye Google nyhetsbrev informerer også brukerne om eliminering av to sårbarheter i komponentene NVIDIA produksjon og om tre dusin i Qualcomm produkter. Når det gjelder sistnevnte, de farligste for Android er CVE-2019-10533 Og CVE-2019-2258 som ble inneholdt i Closed-source komponenter.
“LGE har gitt ut et sett av patcher som en del av den månedlige Android sikkerhetsoppdateringen programmet. Av de faste sårbarheter, den mest alvorlige er en kritisk feil i Media rammeverket”, – sa LG selskap.
September oppdateringer for Android-enheter på samme tid annonsert av Samsung. En ny patch sett dekker de sårbarheter som er nevnt i Google Nyhetsbrev, samt et dusin bugs spesifikke Samsungs produkter.
