Forskere Offentliggøre Unpatched Android Zero-Day
CYBER NEWS

Forskere Offentliggøre Unpatched Android Zero-Day

En ny zero-day sårbarhed er blevet opdaget i Android. Hvis udnyttet, fejlen kunne give en lokal angriber eskalerede privilegier på den kompromitterede enhed. Ifølge TrendMicro Zero Day Initiative forskere Lance Jiang og Moony Li, fejlen ligger inden for v4l2 driveren (Video4Linux 2) i Android.




Meget kritisk Zero-Day Sårbarhed i Android

Når udnyttet, denne komponent validerer ikke eksistensen af ​​et objekt før udførelse operationer på det samme objekt. En lokal angriber kunne udnytte sårbarheden til rettighedsforøgelse i kernen. Til sidst, dette kunne give hackeren fuld adgang til og kontrol over Android-enhed. Dette gør sårbarheden yderst alvorlig, især når det bliver oplyses offentligt uden en patch.

Sårbarheden blev først rapporteret til Google på marts 13, 2019. På onsdag, den koordinerede rådgivende blev frigivet til offentligheden. Det skal bemærkes, at når selskabet først blev kontaktet af ZDI, det bekræftet problemet og sagde, at det kunne fastsættes, men uden at klarlægge når et plaster kunne frigives.

Relaterede: Google Nægtede at lappe en sårbarhed i Android Chrome til 3 år

I betragtning af arten af ​​sårbarheden, den eneste fremtrædende afbødning strategi er at begrænse interaktion med servicen. Kun de klienter og servere, der har en legitim proceduremæssig forhold til tjenesten bør have tilladelse til at kommunikere med det,” det rådgivende sagde.

Sårbarheden offentliggøres på samme tid, når Google frigivet sin meddelelse fra september Android Security Bulletin. Den bulletin adresserer to kritiske fjernkørsel af programkode bugs inden for rammerne medier. Nul-pågældende dag, dog, skal oplyses separat og er ikke en del af bulletin.

Det er underligt at bemærke, at et par dage siden Zerodium opdateret sin prisliste og er i øjeblikket tilbyder større dusører til Android sårbarheder. Dette sker for første gang nogensinde, som iOS mangler altid har været på toppen af ​​den mobile exploits liste. Fra nu, en Android nul-klik udnytte kæde, der ikke kræver brugerinteraktion kunne få forskere en udbetaling på op til $2.5 millioner, det samme udnytte kæde i iOS, anslås til $2 millioner.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...