kutoka Google ripoti juu ya utambuzi wa udhaifu 15 unaofuata (CVE-2019-19523 - CVE-2019-19537) katika viendeshaji vya USB vinavyotolewa katika kernel ya Linux. Hili ni kundi la tatu la matatizo yaliyopatikana wakati wa majaribio ya fuzz ya rafu ya USB kwenye kifurushi - mtafiti aliyepewa hapo awali kuhusu uwepo wa udhaifu 29.
Wakati huu orodha inajumuisha udhaifu pekee unaosababishwa na kufikia maeneo ya kumbukumbu ambayo tayari yamefunguliwa (kutumia baada ya bila malipo) au kusababisha kuvuja kwa data kutoka kwa kumbukumbu ya kernel. Masuala ambayo yanaweza kutumika kusababisha kunyimwa huduma hayajajumuishwa kwenye ripoti. Udhaifu unaweza kutumika wakati vifaa vya USB vilivyotayarishwa maalum vimeunganishwa kwenye kompyuta. Marekebisho ya shida zote zilizotajwa kwenye ripoti tayari zimejumuishwa kwenye kernel, lakini zingine hazijajumuishwa kwenye ripoti. bado haijasahihishwa.
Athari hatari zaidi za matumizi baada ya bila malipo ambazo zinaweza kusababisha utekelezaji wa msimbo wa mshambulizi zimeondolewa katika viendeshi vya adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb na yurex. CVE-2019-19532 pia huorodhesha udhaifu 14 katika viendeshaji vya HID unaosababishwa na hitilafu zinazoruhusu kuandika nje ya mipaka. Matatizo yalipatikana katika viendeshi vya ttusb_dec, pcan_usb_fd na pcan_usb_pro kusababisha kuvuja kwa data kutoka kwa kumbukumbu ya kernel. Tatizo (CVE-2019-19537) kutokana na hali ya mbio limetambuliwa katika msimbo wa rafu wa USB wa kufanya kazi na vifaa vya herufi.
Unaweza pia kutambua
athari nne (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901) katika kiendeshi cha chips zisizo na waya za Marvell, ambazo zinaweza kusababisha kufurika kwa bafa. Shambulio hilo linaweza kufanywa kwa mbali kwa kutuma viunzi kwa njia fulani wakati wa kuunganisha kwenye kituo cha ufikiaji cha wireless cha mshambuliaji. Tishio linalowezekana zaidi ni kunyimwa huduma kwa mbali (kuanguka kwa kernel), lakini uwezekano wa utekelezaji wa kanuni kwenye mfumo hauwezi kutengwa.
Chanzo: opennet.ru