Air FreeBSD so-leòntachd anns a’ chruach USB (CVE-2020-7456) a leigeas le còd a chuir an gnìomh aig ìre kernel no ann an àite luchd-cleachdaidh nuair a tha inneal USB droch-rùnach ceangailte ris an t-siostam. Faodaidh tuairisgeulan inneal USB HID (Inneal Eadar-aghaidh Daonna) an staid làithreach a chuir agus fhaighinn air ais, a’ leigeil le tuairisgeulan nithean a bhith air an cruinneachadh ann am buidhnean ioma-ìre. Bidh FreeBSD a’ toirt taic do suas ri 4 ìrean às-tharraing mar sin. Mura tèid an ìre ath-nuadhachadh nuair a thathar a’ giullachd an aon eileamaid HID, gheibhear àite cuimhne mì-dhligheach. Chaidh an duilgheadas a rèiteachadh ann an ùrachaidhean FreeBSD 11.3-RELEASE-p10 agus 12.1-RELEASE-p6. Mar fhuasgladh tèarainteachd, thathas a’ moladh am paramadair “sysctl hw.usb.disable_enumeration=1” a shuidheachadh.
Chaidh an so-leòntachd a chomharrachadh le Andy Nguyen bho Google agus chan eil e a’ dol thairis air duilgheadas eile a bha o chionn ghoirid luchd-rannsachaidh bho Oilthigh Purdue agus an École Polytechnique Fédérale de Lausanne. Tha an luchd-rannsachaidh seo air an inneal USBFuzz a leasachadh, a tha coltach ri inneal USB nach eil ag obair gu ceart airson deuchainn fuzzing air draibhearan USB. Tha USBFuzz air a phlanadh a dh'aithghearr . A’ cleachdadh an inneal ùr, chaidh 26 so-leòntachd a chomharrachadh, le 18 ann an Linux, 4 ann an Windows, 3 ann am macOS agus aon ann an FreeBSD. Cha deach mion-fhiosrachadh mu na duilgheadasan sin fhoillseachadh fhathast; chan eil e air ainmeachadh ach gun deach aithnichearan CVE fhaighinn airson so-leòntachd 10, agus chaidh duilgheadasan 11 a tha a’ nochdadh ann an Linux a shocrachadh mu thràth. Teicneòlas deuchainn fuzzing coltach ris Andrey Konovalov bho Google, a tha thairis air na beagan bhliadhnaichean a dh'fhalbh ann an stac USB Linux.
Source: fosgailtenet.ru