Op FreeBSD in kwetsberens yn 'e USB-stapel (CVE-2020-7456) dy't koade útfiere op it kernelnivo of yn brûkersromte mooglik makket as in kwea-aardich USB-apparaat is ferbûn mei it systeem. USB HID (Human Interface Device) apparaatbeskriuwers kinne aktuele steat sette en ophelje, wêrtroch itembeskriuwingen kinne wurde groepeare yn groepen op meardere nivo's. FreeBSD stipet oant 4 sokke ekstraksjenivo's. As it nivo net weromset wurdt by it ferwurkjen fan itselde HID-elemint, wurdt tagong ta in ûnjildige ûnthâldlokaasje. It probleem waard fêst yn FreeBSD 11.3-RELEASE-p10 en 12.1-RELEASE-p6 updates. As befeiligingsoplossing is it oan te rieden om de parameter "sysctl hw.usb.disable_enumeration=1" yn te stellen.
De kwetsberens waard identifisearre troch Andy Nguyen fan Google en oerlapet net mei in oar probleem dat koartlyn wie ûndersikers fan Purdue University en de École Polytechnique Fédérale de Lausanne. Dizze ûndersikers hawwe de USBFuzz toolkit ûntwikkele, dy't in ferkeard funksjonearjend USB-apparaat simulearret foar fuzzing testen fan USB-bestjoerders. USBFuzz is gau pland . Mei it nije ark waarden 26 kwetsberens identifisearre, wêrfan 18 yn Linux, 4 yn Windows, 3 yn macOS en ien yn FreeBSD. Details oer dizze problemen binne noch net bekend makke; it wurdt allinich neamd dat CVE-identifikaasjes binne krigen foar 10 kwetsberens, en 11 problemen dy't foarkomme yn Linux binne al reparearre. In ferlykbere fuzzing testtechnyk Andrey Konovalov fan Google, dy't oer de ôfrûne jierren yn Linux USB-stapel.
Boarne: opennet.ru