CYBER NOTICIAS

Los investigadores Revelar sin parches Android de día cero

Una nueva vulnerabilidad de día cero se ha descubierto en Android. Si se explota, la falla podría dar a un atacante local escalada de privilegios en el dispositivo comprometido. De acuerdo con investigadores de la Iniciativa Día Cero de TrendMicro lanza Jiang y Li Moony, la falla se encuentra dentro del controlador v4l2 (Video4Linux 2) en Android.




Vulnerabilidad de día cero muy crítico en Android

cuando explotados, este componente no valida la existencia de un objeto antes de realizar operaciones en el mismo objeto. Un atacante local podría aprovechar la vulnerabilidad de escalada de privilegios en el kernel. Finalmente, esto podría conceder al atacante acceso completo y control sobre el dispositivo Android. Esto hace que la vulnerabilidad muy grave, especialmente cuando está siendo divulgada públicamente sin un parche.

La vulnerabilidad fue reportada por primera vez a Google en marzo 13, 2019. El miércoles, el asesoramiento coordinado fue lanzado al público. Cabe señalar que cuando la empresa se puso en contacto por primera vez por ZDI, confirmó que el tema y dijo que podría ser fijo, pero sin aclarar cuándo un parche podría ser liberado.

Relacionado: Google se negó a Parche de una vulnerabilidad en Chrome para Android 3 Años

Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación saliente es restringir la interacción con el servicio. Sólo los clientes y servidores que tienen una relación procesal legítima con el servicio debe permitir comunicarse con él,” el asesor dijo.

La vulnerabilidad se hace público, al mismo tiempo, cuando Google lanzó su reunión de septiembre del boletín de seguridad de Android. El boletín se dirige a dos errores de ejecución remota de código críticos en el marco de medios. El día cero en cuestión, sin embargo, se da a conocer por separado y no es parte del boletín.

Es curioso observar que un par de días atrás Zerodium actualiza su lista de precios y en la actualidad está ofreciendo recompensas más grandes para las vulnerabilidades de Android. Esto sucede por primera vez en la historia, como defectos de iOS han sido siempre en la parte superior de la lista de hazañas móvil. Desde ahora, un Android cero-clic explotar cadena que no requiere interacción con el usuario podría hacer que los investigadores un pago de hasta $2.5 millones, mientras que la misma cadena de explotar en IOS se estima en $2 millones.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum desde el comienzo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...