Os participantes no programa Zero Day Initiative o projeto Google (PENSAR) Publicados detalhes de uma vulnerabilidade 0-day que pode permitir a elevação de privilégios local no Android.
UMAegundo a descrição no blog ZDI, uma vulnerabilidade perigoso está presente no motorista v4l2 (Video4Linux 2), que oferece a possibilidade de captura de áudio e vídeo para uma família Linux de OS. Enquanto girou para fora, esta API “não verifica a sua existência até que as operações são realizadas no objeto.”como um resultado, se você tiver acesso físico ao dispositivo Android, um atacante pode aumentar privilégios no contexto do kernel e assumir o controle do sistema.
“Para explorar a vulnerabilidade, o atacante deve ser capaz de executar baixa código de privilégio no sistema de destino”, - escrevem os pesquisadores.
Detalhes do código e como o ataque é realizado não é relatado. A gravidade da vulnerabilidade é avaliado em 7.8 em uma escala CVSS.
Um relatório sobre o assunto foi submetido à Google quase seis meses atrás, Em meados de março. O desenvolvedor confirmou a vulnerabilidade e prometeu preparar um patch, embora o momento de seu lançamento não é atribuído. Desde o patch nunca apareceu, os pesquisadores decidiram revelar uma descoberta perigosa.
“Dada a natureza da vulnerabilidade, a única salvação até agora é limitar a interação com o serviço. Você só pode permitir que ele para clientes e servidores associados com os procedimentos legítimos. Essa restrição pode ser introduzida em uma variedade de maneiras, em particular usando regras de firewall ou whitelisting”, – dizem pesquisadores ZDI.
Esta vulnerabilidade foi liberado após a publicação do próximo conjunto de patches para Android. Infelizmente, não havia nenhuma mancha necessário na novamente.
Na terça-feira, setembro 3, Google anunciado a remoção de 15 insetos perigosos em seu sistema operacional para dispositivos móveis. Entre outros, duas vulnerabilidades críticas de execução remota de código nas bibliotecas multimédia incluída no âmbito de mídia foram remendado. De acordo com o boletim do desenvolvedor, a operação de CVE-2019-2176 e CVE-2019-2108 permite a utilização de um arquivo especialmente criado para executar código arbitrário no contexto de um processo privilegiado.
Leia também: SandboxEscaper misteriosa e raiva em dois dias postou mais algumas façanhas 0-day for Windows em acesso aberto
Os componentes da estrutura são fechadas cinco vulnerabilidades de alto risco; quatro deles ameaçam escalação de privilégios, 1 – a divulgação de informações confidenciais. Cinco erros semelhantes foram anunciados no Sistema; o sexto (CVE-2019-2177) permitido executar remotamente qualquer código no sistema.
O novo boletim Google também informa os usuários sobre a eliminação de duas vulnerabilidades nos componentes de produção NVIDIA e cerca de três dúzias de produtos da Qualcomm. Em relação ao último, o mais perigoso para Android são CVE-2019-10533 e CVE-2019-2258 que estavam contidos Ccomponentes de código losed.
“LGE lançou um conjunto de patches como parte do programa mensal de actualizações de segurança do Android. Das vulnerabilidades corrigidas, o mais grave é um bug crítico no âmbito de mídia”, – disse empresa LG.
atualizações de setembro para dispositivos Android ao mesmo tempo anunciado pela Samsung. Um novo conjunto de patches cobre as vulnerabilidades mencionadas no Google Boletim, bem como uma dúzia de erros específicos para produtos Samsung.
