Google నుండి Linux కెర్నల్లో అందించబడిన USB డ్రైవర్లలో తదుపరి 15 దుర్బలత్వాల (CVE-2019-19523 - CVE-2019-19537) గుర్తింపుపై నివేదిక. ప్యాకేజీలోని USB స్టాక్ యొక్క ఫజ్ టెస్టింగ్ సమయంలో కనుగొనబడిన సమస్యల యొక్క మూడవ బ్యాచ్ ఇది - గతంలో ఇచ్చిన పరిశోధకుడు 29 దుర్బలత్వాల ఉనికి గురించి.
ఈసారి జాబితా ఇప్పటికే ఖాళీ చేయబడిన మెమరీ ప్రాంతాలను (ఉపయోగం-తరవాత-ఉచితం) యాక్సెస్ చేయడం వల్ల లేదా కెర్నల్ మెమరీ నుండి డేటా లీకేజీకి దారితీసే హానిని మాత్రమే కలిగి ఉంది. సేవ తిరస్కరణకు కారణమయ్యే సమస్యలు నివేదికలో చేర్చబడలేదు. ప్రత్యేకంగా తయారు చేయబడిన USB పరికరాలను కంప్యూటర్కు కనెక్ట్ చేసినప్పుడు దుర్బలత్వాలను సమర్థవంతంగా ఉపయోగించుకోవచ్చు. నివేదికలో పేర్కొన్న అన్ని సమస్యలకు పరిష్కారాలు ఇప్పటికే కెర్నల్లో చేర్చబడ్డాయి, కానీ కొన్ని నివేదికలో చేర్చబడలేదు ఇప్పటికీ సరిదిద్దబడలేదు.
adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb మరియు yurex డ్రైవర్లలో అటాకర్ కోడ్ అమలుకు దారితీసే అత్యంత ప్రమాదకరమైన ఉపయోగం-తర్వాత-రహిత దుర్బలత్వాలు తొలగించబడ్డాయి. CVE-2019-19532 హద్దులు దాటి వ్రాయడానికి అనుమతించే లోపాల వల్ల HID డ్రైవర్లలో 14 దుర్బలత్వాలను అదనంగా జాబితా చేస్తుంది. కెర్నల్ మెమరీ నుండి డేటా లీకేజీకి దారితీసే ttusb_dec, pcan_usb_fd మరియు pcan_usb_pro డ్రైవర్లలో సమస్యలు కనుగొనబడ్డాయి. అక్షర పరికరాలతో పని చేయడానికి USB స్టాక్ కోడ్లో జాతి పరిస్థితి కారణంగా సమస్య (CVE-2019-19537) గుర్తించబడింది.
మీరు కూడా గమనించవచ్చు
మార్వెల్ వైర్లెస్ చిప్ల కోసం డ్రైవర్లో నాలుగు దుర్బలత్వాలు (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901), ఇది బఫర్ ఓవర్ఫ్లోకి దారి తీస్తుంది. దాడి చేసే వ్యక్తి యొక్క వైర్లెస్ యాక్సెస్ పాయింట్కి కనెక్ట్ చేసినప్పుడు నిర్దిష్ట మార్గంలో ఫ్రేమ్లను పంపడం ద్వారా రిమోట్గా దాడిని నిర్వహించవచ్చు. సేవ యొక్క రిమోట్ తిరస్కరణ (కెర్నల్ క్రాష్) చాలా సంభావ్య ముప్పు, అయితే సిస్టమ్లో కోడ్ అమలు యొక్క అవకాశాన్ని తోసిపుచ్చలేము.
మూలం: opennet.ru