በ FreeBSD ላይ በዩኤስቢ ቁልል (CVE-2020-7456) ተንኮል አዘል ዩኤስቢ ከሲስተሙ ጋር ሲገናኝ በከርነል ደረጃ ወይም በተጠቃሚ ቦታ ላይ ኮድ መፈጸምን የሚፈቅድ ተጋላጭነት። የዩኤስቢ ኤችአይዲ (የሰው በይነገጽ መሣሪያ) መሣሪያ ገላጭዎች የንጥል መግለጫዎች ወደ ባለብዙ ደረጃ ቡድኖች እንዲመደቡ በመፍቀድ የአሁኑን ሁኔታ ማስቀመጥ እና ማግኘት ይችላሉ። FreeBSD እስከ 4 የሚደርሱ የማውጣት ደረጃዎችን ይደግፋል። ተመሳሳዩን የኤችአይዲ ኤለመንትን ሲያካሂድ ደረጃው ካልተመለሰ፣ ልክ ያልሆነ የማህደረ ትውስታ ቦታ ይደርሳል። ችግሩ በFreeBSD 11.3-RELEASE-p10 እና 12.1-RELEASE-p6 ዝመናዎች ተስተካክሏል። እንደ የደህንነት መጠበቂያ፣ መለኪያውን "sysctl hw.usb.disable_enumeration=1" ለማዘጋጀት ይመከራል።
ተጋላጭነቱ በAndi Nguyen ከGoogle ተለይቶ የታወቀው እና በቅርብ ጊዜ ከነበረው ሌላ ችግር ጋር አይጣመርም። ተመራማሪዎች ከፑርዱ ዩኒቨርሲቲ እና ከኤኮል ፖሊቴክኒክ ፌዴራሌ ዴ ላውዛን. እነዚህ ተመራማሪዎች የዩኤስቢ ሾፌሮችን ለመፈተሽ በስህተት የሚሰራ የዩኤስቢ መሣሪያን የሚያስመስለውን የዩኤስቢ ፉዝ መሣሪያ አዘጋጅተዋል። USBFuzz በቅርቡ የታቀደ ነው። . አዲሱን መሳሪያ በመጠቀም 26 ተጋላጭነቶች ተለይተዋል ከነዚህም ውስጥ 18 በሊኑክስ ፣ 4 በዊንዶውስ ፣ 3 በ macOS እና በ FreeBSD ውስጥ አንዱ። ስለነዚህ ችግሮች ዝርዝር መረጃ ገና አልተገለፀም፤ ለ10 ተጋላጭነቶች የCVE መለያዎች መገኘታቸው ብቻ ነው የተጠቀሰው እና በሊኑክስ ውስጥ የተከሰቱ 11 ችግሮች ቀድሞውኑ ተስተካክለዋል። ተመሳሳይ የእንቆቅልሽ ሙከራ ዘዴ አንድሬይ ኮኖቫሎቭ ከ Google ፣ እሱም ባለፉት ጥቂት ዓመታት ውስጥ በሊኑክስ ዩኤስቢ ቁልል ውስጥ።
ምንጭ: opennet.ru