Eine neue Zero-Day-Schwachstelle in Android entdeckt worden,. Wenn ausgebeutet, der Fehler könnte ein lokaler Angreifer geben erweiterten Rechten auf dem angegriffenen Gerät. Laut Trend Micro Zero Day Initiative Forscher Lance Jiang und Moony Li, die Fehler innerhalb des Treibers angeordnet v4l2 (Video4Linux 2) in Android.
Hochkritisch Zero-Day-Schwachstelle in Android
wenn ausgebeutet, die Existenz eines Objekts ist diese Komponente nicht vor validieren Operationen auf dem gleichen Objekt durchführen. Ein lokaler Angreifer könnte die Sicherheitsanfälligkeit für Privilegieneskalation im Kernel ausnutzen. Schließlich, Dies könnte den Angreifer vollen Zugriff und Kontrolle über das Android-Gerät gewähren. Dies macht die Verwundbarkeit sehr schwere, vor allem, wenn es öffentlich ohne Patch offen gelegt werden.
Die Sicherheitslücke wurde zum ersten Mal bei Google im März berichtet 13, 2019. Am Mittwoch, die koordinierte Beratungs wurde für die Öffentlichkeit freigegeben. Es sollte beachtet werden, dass, wenn das Unternehmen wurde zuerst von ZDI kontaktiert, bestätigte das Problem und sagte, es behoben werden kann, aber ohne zu klären, wenn ein Patch könnte freigegeben werden.
“die Art der Verwundbarkeit gegeben, die einzige ausgeprägte Bekämpfungsstrategie ist die Interaktion mit dem Dienst zu beschränken. Nur die Clients und Server, die eine berechtigte prozeduralen Beziehung mit dem Service haben sollten, mit ihm kommunizieren dürfen,” die Beratungs sagte.
Die Sicherheitslücke veröffentlicht zur gleichen Zeit, wenn Google seine September Android Security Bulletin veröffentlicht. Das Bulletin befasst sich mit zwei kritischen Remotecodeausführung Fehler im Media Framework. Der Zero-Day in Frage, jedoch, gesondert ausgewiesen und ist nicht Bestandteil des Bulletins.
Es ist merkwürdig, zu beachten, dass ein paar Tage Zerodium seine Preisliste aktualisiert und noch größere Bounties für Android Schwachstellen anbieten wird. Dies geschieht zum ersten Mal überhaupt, wie iOS Mängel haben sich auf der Spitze der mobilen Exploits Liste immer. In, ein Android-Null-Klick-Exploit-Kette, die keine Benutzerinteraktion erfordert Forscher bekommen könnte eine Auszahlung von bis zu $2.5 Million, Nach der gleichen Kette in auszubeuten IOS wird schätzungsweise $2 Million.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: