趋势科技Zero Day Initiative的研究人员在Android操作系统中发现了一个0day提权漏洞,该漏洞允许受影响设备上具有低访问权限的攻击者进一步增加其权限。该漏洞存在于捕获实时视频的V4L2驱动程序中。 “问题是由于在对对象执行操作之前缺乏验证对象的存在而导致的。攻击者可以利用它来升级内核上下文中的权限。“
安全专家表示,已获得V4L子系统访问权限的应用程序或代码可以利用此漏洞进行升级。发现漏洞的安全研究人员称,他们在3月份通知了谷歌,谷歌证实该漏洞将在6月份得到修复,但截至8月份谷歌表示没有进一步的更新。到目前为止,该漏洞尚未解决。
“鉴于漏洞的性质,唯一突出的缓解策略是限制与服务的互动,”ZDI研究人员在周二的帖子中写道。 “只允许与服务具有合法程序关系的客户端和服务器与之通信。”
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx