Broadcom անլար չիպերի դրայվերներում
Խնդիրները բացահայտվել են Broadcom որոնվածի հակադարձ ինժեներիայով: Տուժած չիպերը լայնորեն օգտագործվում են դյուրակիր համակարգիչներում, սմարթֆոններում և սպառողական տարբեր սարքերում՝ SmartTV-ներից մինչև իրերի ինտերնետ սարքեր: Մասնավորապես, Broadcom չիպերն օգտագործվում են այնպիսի արտադրողների սմարթֆոններում, ինչպիսիք են Apple-ը, Samsumg-ը և Huawei-ը: Հատկանշական է, որ Broadcom-ը խոցելիության մասին ծանուցվել էր դեռևս 2018 թվականի սեպտեմբերին, սակայն սարքավորումներ արտադրողների հետ համաձայնեցված շտկումներ հրապարակելու համար պահանջվեց մոտ 7 ամիս։
Երկու խոցելիություն ազդում է ներքին որոնվածի վրա և պոտենցիալ թույլ է տալիս կոդի գործարկումը Broadcom չիպերում օգտագործվող օպերացիոն համակարգի միջավայրում, ինչը հնարավորություն է տալիս հարձակվել Linux չօգտագործող միջավայրերի վրա (օրինակ, Apple սարքերի վրա հարձակվելու հնարավորությունը հաստատվել է
Վարորդի խոցելիությունը տեղի է ունենում և՛ սեփական wl դրայվերում (SoftMAC և FullMAC), և՛ բաց կոդով brcmfmac (FullMAC): Երկու բուֆերային արտահոսք է հայտնաբերվել wl դրայվերում, որոնք շահագործվել են, երբ մուտքի կետը փոխանցում է հատուկ ձևաչափված EAPOL հաղորդագրություններ կապի բանակցությունների գործընթացում (հարձակումը կարող է իրականացվել չարամիտ մուտքի կետին միանալու ժամանակ): SoftMAC-ով չիպի դեպքում խոցելիությունները հանգեցնում են համակարգի միջուկի փոխզիջման, իսկ FullMAC-ի դեպքում կոդը կարող է գործարկվել որոնվածի կողմից: brcmfmac-ը պարունակում է բուֆերային արտահոսք և շրջանակի ստուգման սխալ, որն օգտագործվում է կառավարման շրջանակներ ուղարկելու միջոցով: Linux միջուկում brcmfmac վարորդի հետ կապված խնդիրներ
Հայտնաբերված խոցելիություններ.
- CVE-2019-9503 - brcmfmac վարորդի սխալ վարքագիծը որոնվածի հետ փոխազդելու համար օգտագործվող կառավարման շրջանակները մշակելիս: Եթե ծրագրակազմի իրադարձություն ունեցող շրջանակը գալիս է արտաքին աղբյուրից, վարորդը մերժում է այն, բայց եթե իրադարձությունը ստացվում է ներքին ավտոբուսի միջոցով, շրջանակը բաց է թողնվում: Խնդիրն այն է, որ USB օգտագործող սարքերից իրադարձությունները փոխանցվում են ներքին ավտոբուսի միջոցով, ինչը թույլ է տալիս հարձակվողներին հաջողությամբ փոխանցել որոնվածի կառավարման շրջանակները՝ USB ինտերֆեյսով անլար ադապտերներ օգտագործելիս.
- CVE-2019-9500 – Երբ «Wake-up on Wireless LAN» ֆունկցիան միացված է, հնարավոր է brcmfmac-ի դրայվերում կույտի արտահոսք առաջացնել (brcmf_wowl_nd_results ֆունկցիա)՝ ուղարկելով հատուկ փոփոխված կառավարման շրջանակ: Այս խոցելիությունը կարող է օգտագործվել հիմնական համակարգում կոդի կատարումը կազմակերպելու համար, երբ չիպը վնասվել է կամ CVE-2019-9503 խոցելիության հետ համատեղ՝ ստուգումները շրջանցելու համար կառավարման շրջանակի հեռահար ուղարկման դեպքում.
- CVE-2019-9501 - բուֆերային արտահոսք wl դրայվերում (wlc_wpa_sup_eapol ֆունկցիա), որը տեղի է ունենում հաղորդագրությունների մշակման ժամանակ, որոնց արտադրողի տեղեկատվական դաշտի բովանդակությունը գերազանցում է 32 բայթը.
- CVE-2019-9502 - Բուֆերային արտահոսք wl դրայվերում (wlc_wpa_plumb_gtk ֆունկցիա) տեղի է ունենում հաղորդագրությունների մշակման ժամանակ, որոնց արտադրողի տեղեկատվական դաշտի բովանդակությունը գերազանցում է 164 բայթը:
Source: opennet.ru