Androidで新しいゼロデイ脆弱性が発見されました. 悪用された場合, この欠陥により、侵入先のデバイスに対するローカルの攻撃者に昇格された特権が与えられる可能性があります. トレンドマイクロのゼロデイイニシアチブの研究者であるランスジャンとムーニーリーによると, 欠陥はv4l2ドライバー内にあります (Video4Linux 2) Androidの場合.
Androidの非常に重大なゼロデイ脆弱性
悪用された場合, このコンポーネントは、同じオブジェクトに対して操作を実行する前に、オブジェクトの存在を検証しません. ローカルの攻撃者は、カーネルの特権昇格の脆弱性を悪用する可能性があります. 最終的, これにより、攻撃者はAndroidデバイスに対するフルアクセスと制御を許可される可能性があります. これにより、脆弱性が非常に深刻になります, 特にパッチなしで公開されている場合.
この脆弱性は3月に最初にGoogleに報告されました 13, 2019. 水曜日に, 調整されたアドバイザリが一般に公開されました. 会社が最初にZDIから連絡を受けたときは注意が必要です, 問題を確認し、修正できると述べました, しかし、パッチがいつリリースされるかを明確にすることなく.
“脆弱性の性質を考えると, 唯一の顕著な緩和戦略は、サービスとの相互作用を制限することです. サービスとの通信を許可する必要があるのは、サービスとの正当な手続き上の関係を持つクライアントとサーバーのみです。,” アドバイザリーは言った.
この脆弱性は、Googleが9月のAndroidセキュリティ速報をリリースしたと同時に公開されました. このセキュリティ情報は、メディアフレームワークにおける2つの重大なリモートコード実行のバグに対処しています。. 問題のゼロデイ, でも, 個別に開示されており、会報の一部ではありません.
数日前にZerodiumが価格表を更新し、現在Androidの脆弱性に対してより大きな報奨金を提供していることに注目してください。. これは初めて起こります, iOSの欠陥は常にモバイルエクスプロイトリストの一番上にあるため. 今から, ユーザーの操作を必要としないAndroidのゼロクリックエクスプロイトチェーンは、研究者を獲得する可能性があります 最大の支払い $2.5 100万, 一方、iOSの同じエクスプロイトチェーンは $2 100万.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: