lati Google ṣe ijabọ idanimọ ti awọn ailagbara 15 atẹle (CVE-2019-19523 - CVE-2019-19537) ninu awọn awakọ USB ti a funni ni ekuro Linux. Eyi ni ipele kẹta ti awọn iṣoro ti a rii lakoko idanwo fuzz ti akopọ USB ninu package - tẹlẹ fi fun oluwadi nipa niwaju 29 vulnerabilities.
Ni akoko yii atokọ pẹlu awọn ailagbara nikan ti o ṣẹlẹ nipasẹ iraye si awọn agbegbe iranti ti o ti ni ominira tẹlẹ (lilo-lẹhin-ọfẹ) tabi yori si jijo data lati iranti ekuro. Awọn ọran ti o le ṣee lo lati fa kiko iṣẹ ko si ninu ijabọ naa. Awọn ailagbara le ṣee lo nigbati awọn ẹrọ USB ti a pese ni pataki ti sopọ mọ kọnputa naa. Awọn atunṣe fun gbogbo awọn iṣoro ti a mẹnuba ninu ijabọ naa ti wa tẹlẹ ninu ekuro, ṣugbọn diẹ ninu ko si ninu ijabọ naa. ṣi wa ko ṣe atunṣe.
Awọn ailagbara lilo-lẹhin-ọfẹ ti o lewu julọ ti o le ja si ipaniyan koodu ikọlu ti paarẹ ni adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb ati awọn awakọ yurex. CVE-2019-19532 ni afikun ṣe atokọ awọn ailagbara 14 ninu awọn awakọ HID ti o fa nipasẹ awọn aṣiṣe ti o gba laaye lati kọ awọn aala. Awọn iṣoro ni a rii ni ttusb_dec, pcan_usb_fd ati awọn awakọ pcan_usb_pro ti o yori si jijo data lati iranti ekuro. Ọrọ kan (CVE-2019-19537) nitori ipo ere-ije kan ti jẹ idanimọ ninu koodu akopọ USB fun ṣiṣẹ pẹlu awọn ẹrọ ihuwasi.
O tun le ṣe akiyesi
awọn ailagbara mẹrin (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901) ninu awakọ fun awọn eerun alailowaya Marvell, eyiti o le ja si ṣiṣan buffer. Ikọlu naa le ṣee ṣe latọna jijin nipa fifiranṣẹ awọn fireemu ni ọna kan nigbati o ba sopọ si aaye iwọle alailowaya ti ikọlu. Irokeke ti o ṣeese julọ jẹ kiko iṣẹ latọna jijin (ijamba ekuro), ṣugbọn iṣeeṣe ti ipaniyan koodu lori eto naa ko le ṣe ijọba.
orisun: opennet.ru