Zero
Video: Più sicuro di Linux installazioni di server vulnerabili alla scoperta di nuove sudo foro
Google ricercatore Andrey Konovalov ha rivelato 14 i difetti del kernel Linux, i driver USB che ha trovato utilizzando un kernel fuzzer chiamato ‘syzkaller’, creata da un altro Google ricercatore di sicurezza, Dmitry Vyukov.
“Tutti possono essere attivati con un predisposto dannoso dispositivo USB nel caso in cui un utente malintenzionato ha accesso fisico alla macchina,” Konovalov ha scritto.
Il 14 vulnerabilità rivelato ieri hanno le correzioni, ma sono parte di un gruppo molto più ampio di 79 difetti che interessano il kernel di Linux il driver USB.
Attualmente sono 22 i bug sono stati assegnati un numero CVE. Ognuno di questi ha le correzioni, ma molti dei difetti non sono stati corretti.
Il 14 difetti influenzare il kernel di Linux prima versione 4.13.8. La maggior parte di essi può essere utilizzato per causare un denial of service, ma appositamente predisposti dispositivo USB può anche causare un crash di sistema e altri “non specificato” impatti.
Se un utente malintenzionato ha accesso fisico, i criminali informatici hanno precedentemente caduta è stato infettato da malware unità USB in società di parcheggi, con l’obiettivo di curiosi dipendenti, da inserire su una macchina da lavoro.
Inoltre, Stuxnet è stato progettato per infettare aria-gapped macchine da prima di infettare le unità USB che sono stati precedentemente inseriti in un computer infetto.
Konovalov ha riportato la prima del 79 bug ai soggetti rilevanti nel dicembre dello scorso anno tramite Google Gruppi mailing list, e ha continuato ad aggiornare i il gruppo con nuove scoperte nel corso di questo anno. Notificato parti, incluso Google, sviluppatori del kernel Linux, Intel e The Linux Foundation.
Questa segnalazione può spiegare perché Linus Torvalds, il mese scorso accreditato gente che fa “mirati fuzzing di driver sottosistemi” per aiutare a trovare i problemi di sicurezza.
Fuzzing comporta gettando grandi volumi di codice casuale ad un pezzo di software, nel tentativo di causare crash di sistema.
Molti dei bug Konovalov diffuso alla mailing list sono stati segnalati nel mese di settembre e ottobre, alcuni dei quali sono stati trovati in release candidate del kernel versione 4.14 fissa e da sviluppatori del kernel Linux durante il processo di sviluppo.
Konovalov del syzkaller rapporti sono talmente semplice mantenere aggiornati gli sviluppatori del kernel occupato. Molti dei più recenti USB bug che Konovalov riportati colpite Linux 4.14 release candidate (RC) 8. Torvalds ha annunciato il 4.14 RC 8 release di domenica, e il lunedì Konovalov aveva trovato una manciata di altre USB bug, alcuni dei quali sono stati risolti e altri no.
Torvalds ha detto Linux 4.14.0 dovrebbe essere rilasciato la prossima domenica.
Konovalov all’inizio di quest’anno ha scoperto un 11-anno-vecchia falla nel kernel di Linux, utilizzando la stessa fuzzing strumento.
Linux kernel fondatore Linus Torvalds ha recentemente accreditato gente che fa “mirati fuzzing di driver sottosistemi” per aiutare a trovare i problemi di sicurezza.
Immagine: Aalto University/YouTube
Precedente e relativa copertura
Linus Torvalds dice mirati fuzzing è migliorare la sicurezza di Linux
Linux 4.14 release candidate cinque. “Vai e prova,” dice Linus Torvalds.
Google Project Zero fuzzed top browser per i bug: gli utenti di Safari non come i risultati
Google Project Zero rilascia l’open-source, strumento utilizzato per trovare nuovi bug nel browser principali.
Linux ormai da un decennio, difetto: le Principali distribuzioni spostare patch grave bug del kernel
Google fuzzer aiuta a trovare 11-anno-vecchia corruzione della memoria falla nel kernel di Linux.
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0