Google ನಿಂದ Linux ಕರ್ನಲ್ನಲ್ಲಿ ನೀಡಲಾದ USB ಡ್ರೈವರ್ಗಳಲ್ಲಿ ಮುಂದಿನ 15 ದುರ್ಬಲತೆಗಳ (CVE-2019-19523 - CVE-2019-19537) ಗುರುತಿಸುವಿಕೆಯ ಕುರಿತು ವರದಿ ಮಾಡಿ. ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ಯುಎಸ್ಬಿ ಸ್ಟಾಕ್ನ ಫಜ್ ಪರೀಕ್ಷೆಯ ಸಮಯದಲ್ಲಿ ಕಂಡುಬರುವ ಮೂರನೇ ಬ್ಯಾಚ್ ಸಮಸ್ಯೆಗಳು - ಹಿಂದೆ ನೀಡಿದ ಸಂಶೋಧಕರು 29 ದುರ್ಬಲತೆಗಳ ಉಪಸ್ಥಿತಿಯ ಬಗ್ಗೆ.
ಈ ಬಾರಿ ಪಟ್ಟಿಯು ಈಗಾಗಲೇ ಮುಕ್ತವಾದ ಮೆಮೊರಿ ಪ್ರದೇಶಗಳನ್ನು ಪ್ರವೇಶಿಸುವುದರಿಂದ ಉಂಟಾಗುವ ದುರ್ಬಲತೆಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿದೆ (ಉಚಿತವಾಗಿ ಬಳಸಿ) ಅಥವಾ ಕರ್ನಲ್ ಮೆಮೊರಿಯಿಂದ ಡೇಟಾ ಸೋರಿಕೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ ಕಾರಣವಾಗಬಹುದಾದ ಸಮಸ್ಯೆಗಳನ್ನು ವರದಿಯಲ್ಲಿ ಸೇರಿಸಲಾಗಿಲ್ಲ. ವಿಶೇಷವಾಗಿ ಸಿದ್ಧಪಡಿಸಲಾದ USB ಸಾಧನಗಳನ್ನು ಕಂಪ್ಯೂಟರ್ಗೆ ಸಂಪರ್ಕಿಸಿದಾಗ ದೋಷಗಳನ್ನು ಸಮರ್ಥವಾಗಿ ಬಳಸಿಕೊಳ್ಳಬಹುದು. ವರದಿಯಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾದ ಎಲ್ಲಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಪರಿಹಾರಗಳನ್ನು ಈಗಾಗಲೇ ಕರ್ನಲ್ನಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ, ಆದರೆ ಕೆಲವು ವರದಿಯಲ್ಲಿ ಸೇರಿಸಲಾಗಿಲ್ಲ ಇನ್ನೂ ಸರಿಪಡಿಸದೆ ಉಳಿದಿವೆ.
ಆಕ್ರಮಣಕಾರರ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ಗೆ ಕಾರಣವಾಗಬಹುದಾದ ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ ಬಳಕೆಯ-ನಂತರ-ಮುಕ್ತ ದೋಷಗಳನ್ನು adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb ಮತ್ತು yurex ಡ್ರೈವರ್ಗಳಲ್ಲಿ ತೆಗೆದುಹಾಕಲಾಗಿದೆ. CVE-2019-19532 ಹೆಚ್ಚುವರಿಯಾಗಿ HID ಡ್ರೈವರ್ಗಳಲ್ಲಿ 14 ದುರ್ಬಲತೆಗಳನ್ನು ಪಟ್ಟಿ ಮಾಡುತ್ತದೆ, ಅದು ದೋಷಗಳಿಂದಾಗಿ ಔಟ್-ಆಫ್-ಬೌಂಡ್ಸ್ ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಕರ್ನಲ್ ಮೆಮೊರಿಯಿಂದ ಡೇಟಾ ಸೋರಿಕೆಗೆ ಕಾರಣವಾಗುವ ttusb_dec, pcan_usb_fd ಮತ್ತು pcan_usb_pro ಡ್ರೈವರ್ಗಳಲ್ಲಿ ಸಮಸ್ಯೆಗಳು ಕಂಡುಬಂದಿವೆ. ಅಕ್ಷರ ಸಾಧನಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು USB ಸ್ಟಾಕ್ ಕೋಡ್ನಲ್ಲಿ ರೇಸ್ ಸ್ಥಿತಿಯ ಕಾರಣದಿಂದಾಗಿ ಸಮಸ್ಯೆಯನ್ನು (CVE-2019-19537) ಗುರುತಿಸಲಾಗಿದೆ.
ನೀವು ಸಹ ಗಮನಿಸಬಹುದು
ಮಾರ್ವೆಲ್ ವೈರ್ಲೆಸ್ ಚಿಪ್ಗಳಿಗಾಗಿ ಡ್ರೈವರ್ನಲ್ಲಿ ನಾಲ್ಕು ದುರ್ಬಲತೆಗಳು (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901), ಇದು ಬಫರ್ ಓವರ್ಫ್ಲೋಗೆ ಕಾರಣವಾಗಬಹುದು. ಆಕ್ರಮಣಕಾರರ ವೈರ್ಲೆಸ್ ಪ್ರವೇಶ ಬಿಂದುವಿಗೆ ಸಂಪರ್ಕಿಸುವಾಗ ನಿರ್ದಿಷ್ಟ ರೀತಿಯಲ್ಲಿ ಫ್ರೇಮ್ಗಳನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ದಾಳಿಯನ್ನು ದೂರದಿಂದಲೇ ನಡೆಸಬಹುದು. ಹೆಚ್ಚಾಗಿ ಬೆದರಿಕೆ ಸೇವೆಯ ದೂರಸ್ಥ ನಿರಾಕರಣೆಯಾಗಿದೆ (ಕರ್ನಲ್ ಕ್ರ್ಯಾಶ್), ಆದರೆ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಸಾಧ್ಯತೆಯನ್ನು ತಳ್ಳಿಹಾಕಲಾಗುವುದಿಲ್ಲ.
ಮೂಲ: opennet.ru