Andrey Konovalov vu Google 15 Schwachstelle bei USB Treiber ugebueden am Linux Kernel. Dëst ass déi zweet Partie vu Probleemer, déi während Fuzzing Tester fonnt goufen - am Joer 2017, dëse Fuerscher Et gi 14 méi Schwachstelle am USB Stack. Probleemer kënne potenziell exploitéiert ginn wann speziell virbereet USB-Geräter mam Computer verbonne sinn. En Attack ass méiglech wann et kierperlechen Zougang zu der Ausrüstung gëtt a kann op d'mannst zu engem Kernel Crash féieren, awer aner Manifestatiounen kënnen net ausgeschloss ginn (zum Beispill fir en ähnlechen Attack entdeckt am Joer 2016 am USB Chauffer snd-usbmidi gelongen Code um Kernelniveau auszeféieren).
Vun de 15 Themen sinn 13 schonn an de leschte Linux Kernelupdates fixéiert, awer zwee Schwachstelle (CVE-2019-15290, CVE-2019-15291) bleiwen an der leschter Verëffentlechung 5.2.9 unfixed. Unpatched Schwachstelle kënnen zu NULL Pointer-Dereferenzen an den ath6kl a b2c2 Treiber féieren wann Dir falsch Donnéeën vum Apparat kritt. Aner Schwachstelle enthalen:
- Zougang zu scho befreit Gedächtnisberäicher (benotzen-no-gratis) an de Chauffeuren v4l2-dev/radio-raremono, dvb-usb, sound/core, cpia2 an p54usb;
- Double-gratis Erënnerung am rio500 Chauffer;
- NULL Zeigefangerreferenzen an yurex, zr364xx, siano/smsusb, sisusbvga, line6/pcm, motu_microbookii an line6 Treiber.
Source: opennet.ru