frá Google skýrslu um auðkenningu á næstu 15 veikleikum (CVE-2019-19523 - CVE-2019-19537) í USB-rekla sem boðið er upp á í Linux kjarnanum. Þetta er þriðja lotan af vandamálum sem fundust við fuzzprófun á USB-staflanum í pakkanum — áður gefinn rannsakandi um tilvist 29 veikleika.
Að þessu sinni inniheldur listinn aðeins veikleika sem orsakast af því að fá aðgang að þegar losuðum minnissvæðum (nota-eftir-frjáls) eða sem leiðir til gagnaleka úr kjarnaminni. Mál sem gætu verið notuð til að valda afneitun á þjónustu eru ekki með í skýrslunni. Mögulega er hægt að nýta veikleikana þegar sérútbúin USB-tæki eru tengd við tölvuna. Lagfæringar fyrir öll vandamál sem nefnd eru í skýrslunni eru þegar innifalin í kjarnanum, en sumar eru ekki innifaldar í skýrslunni enn óleiðrétt.
Hættulegustu veikleikar sem geta leitt til keyrslu árásarkóða hefur verið eytt í adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb og yurex rekla. CVE-2019-19532 listar að auki 14 veikleika í HID rekla sem orsakast af villum sem leyfa skrif utan marka. Vandamál fundust í ttusb_dec, pcan_usb_fd og pcan_usb_pro rekla sem leiddu til gagnaleka úr kjarnaminni. Vandamál (CVE-2019-19537) vegna keppnisástands hefur verið auðkennt í USB-staflakóðanum til að vinna með stafrænum tækjum.
Þú getur líka athugað
fjórir veikleikar (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901) í reklum fyrir Marvell þráðlausa flís, sem getur leitt til yfirflæðis í biðminni. Árásina er hægt að framkvæma fjarstýrt með því að senda ramma á ákveðinn hátt þegar tengst er við þráðlausan aðgangsstað árásaraðila. Líklegasta ógnin er fjarlæg afneitun á þjónustu (kjarnahrun), en ekki er hægt að útiloka möguleikann á keyrslu kóða á kerfinu.
Heimild: opennet.ru