На этой неделе разработчики Google выпустили сентябрьский набор патчей, исправив почти 50 различных уязвимостей в Android. Однако эксперты Trend Micro Zero Day Initiative предупредили, что одна опасная 0-day проблема так и осталась без патча.
Уязвимость была обнаружена еще весной текущего года, и эксперты долго ждали ее исправления. Когда патча не обнаружилось и в сентябрьском наборе исправлений, исследователи решили публично обнародовать информацию о баге. По мнению специалистов, проблема оценивается на 7,8 баллов из 10 возможных.
0-day уязвимость еще не имеет идентификатора CVE и связана с тем, как драйвер Video for Linux (V4L2), входящий в состав Android и использующийся для захвата видео в реальном времени, обрабатывает входные данные. Эксплуатируя этот баг, злоумышленник может повысить свои привилегии в контексте ядра.
К счастью, данную проблему нельзя использовать удаленно. То есть атакующему необходимо заранее внедрить на целевое устройство малварь или иным способом обеспечить себе локальный доступ. Но исследователи предупреждают, что баг все равно нельзя недооценивать. Так, проблемы повышения привилегий часто применяются злоумышленниками в сочетании с другими эксплоитами и малварью. Например, вредоносы для Android нередко поставляются в комплекте с эксплоитами для уязвимости Dirty COW, которая позволяет с легкостью повысить привилегии на старых устройствах под управлением Android.
Увы, на данный момент не существует простого решения, позволяющего предотвратить использование свежей 0-day уязвимости вредоносными приложениями.