Участники проекта Zero Day Initiative (ZDI) опубликовали подробности уязвимости нулевого дня, позволяющей локально повысить привилегии в Android.

Согласно описанию в блоге ZDI, опасная уязвимость присутствует в драйвере v4l2 (Video4Linux 2), который обеспечивает возможность аудио- и видеозахвата для ОС семейства Linux. Как оказалось, этот API-интерфейс «до выполнения операций над объектом не удостоверяется в его существовании». В результате при наличии физического доступа к Android-устройству злоумышленник сможет повысить привилегии в контексте ядра и захватить контроль над системой.

«Чтобы воспользоваться уязвимостью, автор атаки должен иметь возможность выполнить в целевой системе код с низкими привилегиями», — пишут исследователи. Какой именно код и как при этом проводится атака, Threatpost выяснить не удалось, так как представители ZDI на запрос не ответили. Степень серьезности уязвимости оценена в 7,8 балла по шкале CVSS.

Отчет о ней был передан в Google почти полгода назад, в середине марта. Разработчик подтвердил наличие уязвимости и пообещал подготовить патч, хотя сроки его выпуска не назначил. Поскольку заплатка так и не появилась, исследователи решили обнародовать опасную находку. Threatpost, в свою очередь, попросил Google прокомментировать ситуацию и сообщить сроки решения проблемы, но ответа пока не получил.

«Учитывая характер уязвимости, единственным спасением пока является ограничение взаимодействия с сервисом, — считают исследователи. — Разрешить его можно только для клиентов и серверов, связанных с ним легитимными процедурами. Такое ограничение можно ввести разными способами, в частности с помощью правил брандмауэра или белых списков».

Данная уязвимость была обнародована вслед за публикацией очередного набора патчей для Android. К сожалению, нужной заплатки в нем опять не оказалось.

Что содержат сентябрьские обновления для Android

Во вторник, 3 сентября, Google сообщила об устранении 15 опасных багов в своей ОС для мобильных устройств. В числе прочих пропатчены две критические уязвимости удаленного исполнения кода в библиотеках мультимедиа, входящих в состав Media framework . Согласно бюллетеню разработчика, эксплуатация CVE-2019-2176 и CVE-2019-2108 позволяет с помощью специально созданного файла выполнить произвольный код в контексте привилегированного процесса.

В компонентах Framework закрыто пять уязвимостей высокой степени опасности; четыре из них грозят повышением привилегий, одна — раскрытием конфиденциальной информации. Пять похожих багов объявилось в System; шестой (CVE-2019-2177) позволял удаленно исполнить любой код в системе.

Новый бюллетень Google также информирует пользователей об устранении двух уязвимостей в компонентах производства NVIDIA и около трех десятков — в изделиях Qualcomm. Из последних для Android наиболее опасны CVE-2019-10533 и CVE-2019-2258, содержащиеся в компонентах с закрытым исходным кодом.

Партнеры Google тоже выпустили патчи

Сентябрьские обновления для Android-устройств одновременно анонсировала Samsung. Новый набор заплаток закрывает уязвимости, упомянутые в бюллетене Google, а также десяток багов, характерных только для изделий Samsung.

Компания LG в похожем анонсе пишет: «LGE выпустила набор патчей в рамках программы ежемесячного обновления системы безопасности Android. Из устраняемых уязвимостей самым серьезным является критический баг в Media framework».

Категории: Главное, Другие темы, Уязвимости