Для эксплуатации уязвимости требуется локальный доступ злоумышленника к системе. В Android для атаки вначале нужно получить контроль над непривилегированным приложением, имеющим полномочия обращения к подсистеме V4L (Video for Linux), например, над программой для работой камерой. Наиболее реалистичным применением уязвимости в Android является включение эксплоита в подготовленные злоумышленниками вредоносные приложения для повышения привилегий на устройстве.
В настоящее время уязвимость остаётся неисправленной. Несмотря на то, что Google был уведомлен о проблеме в марте, исправление не было включено в сентябрьское обновление платформы Android. В сентябрьском наборе исправлений проблем с безопасностью для Android устранено 49 уязвимостей, из которых четырём уязвимостям присвоен критический уровень опасности. Две критические уязвимости устранены в мультимедийном фреймворке и позволяют выполнить код при обработке специально оформленных мультимедийных данных. 31 уязвимость устранена в компонентах для чипов Qualcomm, из которых двум уязвимостям присвоен критический уровень, допускающий проведение удалённой атаки. Остальные проблемы помечены как опасные, т.е. позволяют через манипуляции с локальными приложениями выполнить код в контексте привилегированного процесса.
Источник: http://www.opennet.ru/opennews/art.shtml?num=51434