ਫ੍ਰੀਬੀਐਸਡੀ ਵਿੱਚ ਕਮਜ਼ੋਰੀ ਦਾ ਇੱਕ ਖਤਰਨਾਕ USB ਡਿਵਾਈਸ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ

FreeBSD 'ਤੇ ਖਤਮ ਕੀਤਾ USB ਸਟੈਕ (CVE-2020-7456) ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ ਕਰਨਲ-ਪੱਧਰ ਜਾਂ ਉਪਭੋਗਤਾ-ਸਪੇਸ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ ਜਦੋਂ ਇੱਕ ਖਤਰਨਾਕ USB ਡਿਵਾਈਸ ਸਿਸਟਮ ਨਾਲ ਜੁੜਿਆ ਹੁੰਦਾ ਹੈ। USB HID (ਮਨੁੱਖੀ ਇੰਟਰਫੇਸ ਡਿਵਾਈਸ) ਡਿਵਾਈਸ ਡਿਸਕ੍ਰਿਪਟਰ ਮੌਜੂਦਾ ਸਥਿਤੀ ਨੂੰ ਰੱਖ ਅਤੇ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਤੱਤ ਵਰਣਨ ਨੂੰ ਬਹੁ-ਪੱਧਰੀ ਸਮੂਹਾਂ ਵਿੱਚ ਸਮੂਹਬੱਧ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। FreeBSD ਚਾਰ ਅਜਿਹੇ ਪ੍ਰਾਪਤੀ ਪੱਧਰਾਂ ਤੱਕ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਇੱਕੋ HID ਤੱਤ ਦੀ ਪ੍ਰਕਿਰਿਆ ਕਰਦੇ ਸਮੇਂ ਪੱਧਰ ਨੂੰ ਬਹਾਲ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇੱਕ ਅਵੈਧ ਮੈਮੋਰੀ ਸਥਾਨ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਮੁੱਦਾ FreeBSD 11.3-RELEASE-p10 ਅਤੇ 12.1-RELEASE-p6 ਵਿੱਚ ਹੱਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਇੱਕ ਹੱਲ ਵਜੋਂ, "sysctl hw.usb.disable_enumeration=1" ਪੈਰਾਮੀਟਰ ਸੈੱਟ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਇਸ ਕਮਜ਼ੋਰੀ ਦੀ ਖੋਜ ਗੂਗਲ ਦੇ ਐਂਡੀ ਨਗੁਏਨ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਸੀ ਅਤੇ ਇਹ ਹਾਲ ਹੀ ਵਿੱਚ ਸਾਹਮਣੇ ਆਈ ਕਿਸੇ ਹੋਰ ਸਮੱਸਿਆ ਨਾਲ ਓਵਰਲੈਪ ਨਹੀਂ ਹੁੰਦੀ ਹੈ। ਐਲਾਨ ਕੀਤਾ ਪਰਡਿਊ ਯੂਨੀਵਰਸਿਟੀ ਅਤੇ ਈਕੋਲ ਪੌਲੀਟੈਕਨੀਕ ਫੈਡਰਲ ਡੀ ਲੌਸੇਨ ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ USBFuzz ਨਾਮਕ ਇੱਕ ਟੂਲ ਵਿਕਸਤ ਕੀਤਾ ਹੈ, ਜੋ USB ਡਰਾਈਵਰਾਂ ਨੂੰ ਫਜ਼ ਕਰਨ ਲਈ ਇੱਕ ਖਰਾਬ USB ਡਿਵਾਈਸ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। USBFuzz ਨੂੰ ਜਲਦੀ ਹੀ ਜਾਰੀ ਕਰਨ ਦੀ ਯੋਜਨਾ ਹੈ। GitHub 'ਤੇ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰੋਨਵੇਂ ਟੂਲ ਨੇ 26 ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ 18 ਸਨ Linux, 4 ਇੰਚ Windows, 3 ਇੰਚ macOS ਅਤੇ ਇੱਕ FreeBSD ਵਿੱਚ। ਇਹਨਾਂ ਸਮੱਸਿਆਵਾਂ ਬਾਰੇ ਵੇਰਵੇ ਅਜੇ ਤੱਕ ਪ੍ਰਗਟ ਨਹੀਂ ਕੀਤੇ ਗਏ ਹਨ, ਸਿਰਫ ਇਹ ਦੱਸਿਆ ਗਿਆ ਹੈ ਕਿ CVE ਪਛਾਣਕਰਤਾ 10 ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਪ੍ਰਾਪਤ ਕੀਤੇ ਗਏ ਹਨ, ਅਤੇ ਉਹ ਜੋ ਆਪਣੇ ਆਪ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੇ ਹਨ Linux 11 ਸਮੱਸਿਆਵਾਂ ਪਹਿਲਾਂ ਹੀ ਹੱਲ ਕੀਤੀਆਂ ਜਾ ਚੁੱਕੀਆਂ ਹਨ। ਇੱਕ ਸਮਾਨ ਫਜ਼ਿੰਗ ਟੈਸਟਿੰਗ ਤਕਨੀਕ ਲਾਗੂ ਹੁੰਦਾ ਹੈ ਗੂਗਲ ਤੋਂ ਐਂਡਰੀ ਕੋਨੋਵਾਲੋਵ, ਜੋ ਪਿਛਲੇ ਕੁਝ ਸਾਲਾਂ ਤੋਂ ਪਛਾਣਿਆ 44 ਕਮਜ਼ੋਰੀਆਂ USB ਸਟੈਕ ਵਿੱਚ Linux.

ਸਰੋਤ: opennet.ru