saka Google laporan babagan identifikasi 15 kerentanan sabanjure (CVE-2019-19523 - CVE-2019-19537) ing driver USB sing ditawakake ing kernel Linux. Iki minangka masalah kaping telu sing ditemokake sajrone uji coba tumpukan USB ing paket kasebut - peneliti sadurunge diwenehi bab ngarsane 29 vulnerabilities.
Wektu iki dhaptar mung kalebu kerentanan sing disebabake ngakses area memori sing wis dibebasake (nggunakake sawise-gratis) utawa nyebabake kebocoran data saka memori kernel. Masalah sing bisa digunakake kanggo nyebabake penolakan layanan ora kalebu ing laporan kasebut. Kerentanan kasebut bisa dimanfaatake nalika piranti USB sing disiapake khusus disambungake menyang komputer. Ndandani kabeh masalah sing kasebut ing laporan wis kalebu ing kernel, nanging sawetara ora kalebu ing laporan nganti saiki tetep ora dikoreksi.
Kerentanan sing paling mbebayani sing bisa nyebabake eksekusi kode penyerang wis diilangi ing driver adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb lan yurex. CVE-2019-19532 uga nyathet 14 kerentanan ing driver HID sing disebabake kesalahan sing ngidini nulis metu saka wates. Masalah ditemokake ing driver ttusb_dec, pcan_usb_fd lan pcan_usb_pro sing nyebabake kebocoran data saka memori kernel. Masalah (CVE-2019-19537) amarga kondisi balapan wis diidentifikasi ing kode tumpukan USB kanggo nggarap piranti karakter.
Sampeyan uga bisa nyathet
papat kerentanan (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901) ing driver kanggo Kripik nirkabel Marvell, sing bisa nyebabake kebanjiran buffer. Serangan kasebut bisa ditindakake kanthi jarak adoh kanthi ngirim pigura kanthi cara tartamtu nalika nyambung menyang titik akses nirkabel panyerang. Ancaman sing paling mungkin yaiku penolakan layanan sing adoh (kernel crash), nanging kemungkinan eksekusi kode ing sistem kasebut ora bisa ditolak.
Source: opennet.ru