Google-ээс Линукс цөмд санал болгож буй USB драйверуудын дараагийн 15 эмзэг байдлыг (CVE-2019-19523 - CVE-2019-19537) тодорхойлсон тайлан. Энэ бол багц дахь USB стекийг бүдэгрүүлэх туршилтын явцад олдсон асуудлын гурав дахь багц юм - өмнө нь өгсөн судлаач 29 эмзэг байдлын талаар.
Энэ удаад жагсаалтад зөвхөн аль хэдийн суллагдсан санах ойн хэсгүүдэд хандах (үнэгүй ашиглах) эсвэл цөмийн санах ойноос өгөгдөл алдагдахаас үүдэлтэй эмзэг байдлыг багтаасан болно. Үйлчилгээнээс татгалзахад ашиглаж болох асуудлуудыг тайланд оруулаагүй болно. Тусгайлан бэлтгэсэн USB төхөөрөмжүүдийг компьютерт холбосон үед эмзэг байдлыг ашиглаж болно. Тайланд дурдсан бүх асуудлын засваруудыг цөмд аль хэдийн оруулсан байгаа боловч заримыг нь тайланд оруулаагүй болно. өнөөг хүртэл засаагүй байна.
Халдагчийн кодыг гүйцэтгэхэд хүргэж болох хамгийн аюултай ашиглалтын дараах сул талуудыг adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb болон yurex драйверуудад устгасан. CVE-2019-19532 нь хязгаараас гадуур бичихийг зөвшөөрдөг алдаанаас үүдэлтэй HID драйверуудын 14 эмзэг байдлыг нэмж жагсаав. ttusb_dec, pcan_usb_fd болон pcan_usb_pro драйверуудад асуудал олдсон бөгөөд энэ нь цөмийн санах ойноос өгөгдөл алдагдахад хүргэдэг. Тэмдэгтийн төхөөрөмжтэй ажиллах USB стек кодонд уралдааны нөхцөл байдлаас үүдэлтэй асуудал (CVE-2019-19537) тодорхойлогдсон.
Та бас тэмдэглэж болно
Marvell утасгүй чипүүдэд зориулсан драйверт дөрвөн эмзэг байдал (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901) байгаа нь буфер халихад хүргэж болзошгүй. Халдагчийн утасгүй хандалтын цэгт холбогдох үед тодорхой аргаар хүрээ илгээх замаар халдлагыг алсаас хийж болно. Хамгийн их магадлалтай аюул бол үйлчилгээнээс алсаас татгалзах (цөмийн гэмтэл) боловч систем дээрх кодыг гүйцэтгэх боломжийг үгүйсгэх аргагүй юм.
Эх сурвалж: opennet.ru