هک کردن راحت بازی های اندروید با برنامه GameCih
آموزش ساخت پهباد کوچک در خانه!!
Apple سری جدید Mac خود را در ۲۷ اکتبر معرفی خواهد کرد
10 شغل تکنولوژی مربوط به آینده که باور نخواهید کرد که واقعا وجود دارند
950 میلیون دستگاه اندرویدی در خطر هک شدن از طریق پیام رسانی
دانشمندان تراشه ای اختراع کرده اند که می تواند پرواز سوسک ها را در کنترل بگیرد
اوج خلاقیت در چهارمین نمایشگاه پرینترهای سه بعدی
سوپر ربات چینی به راحتی با مردم ارتباط برقرار می کند
گوگل در پی کشف هیولای افسانه ای
اشک شوق: چاپگر 3D به مادر نابینا امکان داد تا پسر خود را ‘ببیند’
به گزارش مرکز ماهر، محققان #Trend_Micro از طریق برنامهی Zero Day Initiative، به وجود یک آسیبپذیری در سیستمعامل تلفن همراه اندروید پی بردند.
این نقص در درایور Video For Linux 2 (V4L2) وجود دارد. V4L2 یک درایور سیستمی دو لایهای لینوکس است و از روشهای مشابه به روشهای درایور لینوکس معمول اما با پارامترهایی که تنها مخصوص درایورهای V4L2 است، استفاده میکند. تمامی درایورهای V4L2 ماژولار هستند. این آسیبپذیری در حالتی که درایور V4L2 دادهها را در اندروید مدیریت میکند، وجود دارد. به عبارتی، این آسیبپذیری ناشی از عدم اعتبارسنجی وجود یک شئ پیش از آنکه عملیاتی بر روی شئ انجام شود، است.
یک مهاجم میتواند با دسترسی محلی به یک دستگاه آسیبپذیر از این نقص امنیتی برای افزایش امتیاز تا سطح هسته، سوءاستفاده کند. اگر دسترسی محلی موجود نباشد، ابتدا باید بتواند کد با دسترسی پایین را در سیستم هدف اجرا کند تا بتواند از این آسیبپذیری سوءاستفاده کند. این نقص میتواند با آسیبپذیریهای دیگر زنجیر شود تا کنترل کامل یک دستگاه را در دست گیرد و آلودهسازی اولیه را ایجاد نماید.
این آسیبپذیری از نظر شدت «بالا» رتبهبندی شده است و دارای رتبهی 7.8 در مقیاس 10 است. از آنجاییکه سوءاستفادهی موفق از این آسیبپذیری نیاز به دسترسی محلی دارد، احتمالاً شدت آن کاهش مییابد.
محققان Trend Micro، وجود این نقص را در 13 مارس 2019 به گوگل گزارش دادند و جزئیات مربوط به آن را پس از انتشار بولتین امنیتی ماه سپتامبر 2019 گوگل که در آن، این نقص را برطرف نساخته بودند، منتشر ساختند.
تاکنون راه حلی برای این آسیبپذیری ارایه نشده است. با توجه به ماهیت این آسیبپذیری، تنها استراتژی مقابله با آن، محدودکردن تعامل با سرویس است. تنها کلاینتها و کارگزارهایی که یک رابطهی رویهای قانونی با سرویس دارند، باید مجاز به برقرای ارتباط با آن باشند.
این نقص در درایور Video For Linux 2 (V4L2) وجود دارد. V4L2 یک درایور سیستمی دو لایهای لینوکس است و از روشهای مشابه به روشهای درایور لینوکس معمول اما با پارامترهایی که تنها مخصوص درایورهای V4L2 است، استفاده میکند. تمامی درایورهای V4L2 ماژولار هستند. این آسیبپذیری در حالتی که درایور V4L2 دادهها را در اندروید مدیریت میکند، وجود دارد. به عبارتی، این آسیبپذیری ناشی از عدم اعتبارسنجی وجود یک شئ پیش از آنکه عملیاتی بر روی شئ انجام شود، است.
یک مهاجم میتواند با دسترسی محلی به یک دستگاه آسیبپذیر از این نقص امنیتی برای افزایش امتیاز تا سطح هسته، سوءاستفاده کند. اگر دسترسی محلی موجود نباشد، ابتدا باید بتواند کد با دسترسی پایین را در سیستم هدف اجرا کند تا بتواند از این آسیبپذیری سوءاستفاده کند. این نقص میتواند با آسیبپذیریهای دیگر زنجیر شود تا کنترل کامل یک دستگاه را در دست گیرد و آلودهسازی اولیه را ایجاد نماید.
این آسیبپذیری از نظر شدت «بالا» رتبهبندی شده است و دارای رتبهی 7.8 در مقیاس 10 است. از آنجاییکه سوءاستفادهی موفق از این آسیبپذیری نیاز به دسترسی محلی دارد، احتمالاً شدت آن کاهش مییابد.
محققان Trend Micro، وجود این نقص را در 13 مارس 2019 به گوگل گزارش دادند و جزئیات مربوط به آن را پس از انتشار بولتین امنیتی ماه سپتامبر 2019 گوگل که در آن، این نقص را برطرف نساخته بودند، منتشر ساختند.
تاکنون راه حلی برای این آسیبپذیری ارایه نشده است. با توجه به ماهیت این آسیبپذیری، تنها استراتژی مقابله با آن، محدودکردن تعامل با سرویس است. تنها کلاینتها و کارگزارهایی که یک رابطهی رویهای قانونی با سرویس دارند، باید مجاز به برقرای ارتباط با آن باشند.
