PT-2022-1385 · Google+2 · Android Kernel+2
Publicado
2022-04-22
·
Atualizado
2025-09-25
·
CVE-2023-20938
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Kernel do Android
Descrição
O problema está relacionado a um possível uso após liberação (use after free) devido à validação inadequada de entradas no binder transaction buffer release do binder.c. Isso pode levar à escalada local de privilégios sem a necessidade de privilégios de execução adicionais. Não é necessária a interação do usuário para a exploração. A vulnerabilidade também está relacionada ao tratamento incorreto de objetos do tipo BINDER TYPE FDA de tamanho zero.
Recomendações
Para o kernel do Android, considere desativar a função vulnerável até que um patch esteja disponível. Restrinja o acesso ao módulo binder para minimizar o risco de exploração. Evite usar o objeto BINDER TYPE FDA no binder.c afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Use After Free
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Android Kernel
Linuxmint
Ubuntu