Security Week 37: уязвимость в Android, Microsoft против deepfakes, популярность Windows 7
Поэтому и деталей раскрыто немного. В ZDI оценивают уязвимость в 7,8 баллов по методике CVSS. Суть проблемы заключается в отсутствии проверки драйвером существования объекта перед тем, как проводить операции над ним. Баг для эксплуатации требует локального доступа к системе. Иными словами, приложение с вредоносным кодом и низкими привилегиями может получить полный доступ к смартфону, но это приложение нужно еще как-то установить.
Сообщение об уязвимости представители Google пока не прокомментировали. По данным ZDI, разработчик Android получил информацию о проблеме еще в марте этого года, в июне сообщил, что ведется работа над патчем, но на последующие запросы о дате выпуска заплатки не отвечал. Оценка вендора все же важна: так, компания Apple на прошлой неделе отреагировала на исследование Google об уязвимостях в iOS заявлением, в котором подтвердила существование вредоносной кампании, но опровергла утверждения о длительности атаки. По версии Apple, кампания длилась два месяца, а не два года.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
- Laravel: электронная подпись на сервере с PDF визуализацией
- Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google
- OSINT на боевом рубеже: новый фронт военной разведки
- Блеск и ад p2p-торговли на Bybit
- Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2
- Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
- Деньги ушли в Telegram, а риэлтор — в тень: как россиян обманывают при покупке недвижимости в Таиланде
- Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)
- uniSiter: Wildberries доставляет еду, Яндекс запускает биржу тг-каналов, Самокат тестирует доставку дронами