CRITICAL🇬🇧 English

CVE-2026-0124

Zapis poza granicami bufora w Android — lokalna eskalacja uprawnień

CVSS 10.0v4.0pub. 2026-03-10upd. 2026-03-11

W systemie Android istnieje podatność umożliwiająca zapis poza przydzielonym obszarem pamięci (out of bounds write) wynikająca z braku weryfikacji granic. Może ona prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

There is a possible out of bounds write due to a missing bounds check. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-787 (out of bounds write) wynika z pominięcia sprawdzania granic bufora przed zapisem danych. Atakujący z dostępem lokalnym do urządzenia może wywołać operację zapisu poza dozwolonym obszarem pamięci, co pozwala na manipulację strukturami danych lub kodem w pamięci procesu. Brak wymagania jakiejkolwiek interakcji ze strony użytkownika oraz brak potrzeby posiadania dodatkowych uprawnień wykonawczych znacząco obniżają próg wejścia dla atakującego.

Skutki

Atakujący może uzyskać eskalację uprawnień na urządzeniu lokalnym, potencjalnie przejmując kontrolę nad systemem operacyjnym lub jego krytycznymi komponentami. W scenariuszu maksymalnego zagrożenia możliwe jest pełne przejęcie kontroli nad urządzeniem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Pixel dostępny pod adresem: https://source.android.com/docs/security/bulletin/pixel/2026/2026-03-01

Kogo dotyczy

Google Android — wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Pixel z marca 2026)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Google Android

    OS
    Google
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-16010CRITICAL9.6⚠ KEVten sam produkt

Heap buffer overflow in UI in Google Chrome on Android prior to 86.0.4240.185 allowed a remote attacker who ha...

CVE-2016-1019CRITICAL9.8⚠ KEVten sam produkt

Adobe Flash Player 21.0.0.197 and earlier allows remote attackers to cause a denial of service (application cr...

CVE-2026-13851CRITICAL9.1ten sam produkt

Insufficient validation of untrusted input in WebAppInstalls in Google Chrome on Android prior to 150.0.7871.4...

CVE-2026-13852CRITICAL9.1ten sam produkt

Insufficient validation of untrusted input in WebAppInstalls in Google Chrome on Android prior to 150.0.7871.4...

CVE-2026-14106CRITICAL9.6ten sam produkt

Insufficient validation of untrusted input in Text in Google Chrome on Android prior to 150.0.7871.47 allowed ...