Security Week 37: уязвимость в Android, Microsoft против deepfakes, популярность Windows 7

Поэтому и деталей раскрыто немного. В ZDI оценивают уязвимость в 7,8 баллов по методике CVSS. Суть проблемы заключается в отсутствии проверки драйвером существования объекта перед тем, как проводить операции над ним. Баг для эксплуатации требует локального доступа к системе. Иными словами, приложение с вредоносным кодом и низкими привилегиями может получить полный доступ к смартфону, но это приложение нужно еще как-то установить.
Сообщение об уязвимости представители Google пока не прокомментировали. По данным ZDI, разработчик Android получил информацию о проблеме еще в марте этого года, в июне сообщил, что ведется работа над патчем, но на последующие запросы о дате выпуска заплатки не отвечал. Оценка вендора все же важна: так, компания Apple на прошлой неделе отреагировала на исследование Google об уязвимостях в iOS заявлением, в котором подтвердила существование вредоносной кампании, но опровергла утверждения о длительности атаки. По версии Apple, кампания длилась два месяца, а не два года.
Читать дальше →
Источник: Хабрахабр