Nul
Video: de Fleste sikkert Linux server opsætninger sårbare over for nyligt opdaget sudo hul
Google forsker Andrey Konovalov har afsløret 14 fejl i Linux kernen USB-drivere, som han fandt ved hjælp af en kerne fuzzer kaldet ‘syzkaller’, oprettet af en anden Google-sikkerhedsekspert, Dmitry Vyukov.
“Alle af dem kan udløses med en ondsindet fabrikeret USB-enhed i tilfælde af at en angriber med fysisk adgang til maskinen,” Konovalov skrev.
Den 14 sårbarheder afslørede i går har rettelser til rådighed, men de er en del af en meget større gruppe af 79 fejl, der påvirker Linux-kernen, er USB-drivere.
I øjeblikket 22 af de fejl, der er blevet tildelt et CVE-nummer. Hver af disse har rettelser til rådighed, men mange af de fejl er ikke blevet rettet.
Den 14 mangler indflydelse på den Linux-kerner før version 4.13.8. De fleste af dem kan bruges til at forårsage et lammelsesangreb (denial of service, men en, der er specielt udformet USB-enhed kan også forårsage et systemnedbrud og andre “uspecificeret” virkninger.
Selvom en hacker ville have fysisk adgang, cyberkriminelle har tidligere droppet malware-inficerede USB-drev i selskab parkeringspladser, der sigter for nysgerrige medarbejdere til at indsætte dem på en maskine.
Også, Stuxnet blev designet til at inficere luft-gapped maskiner ved først at inficere USB-drev, der tidligere var tilsluttet til en inficeret maskine.
Konovalov rapporterede den første af de 79 fejl, at de relevante parter i December sidste år via en Google Grupper mailing-liste, og har fortsat med at opdaterer gruppen med ny viden hele dette år. Anmeldt parter, der er omfattet Google, Linux kerne-udviklere, Intel og Linux Foundation.
Denne rapportering kan forklare, hvorfor Linus Torvalds i sidste måned krediteret mennesker at gøre “målrettet fuzzing af driver delsystemer” for at hjælpe med at finde sikkerhedsspørgsmål.
Fuzzing indebærer at kaste store mængder af tilfældige kode på et mål stykke software i et forsøg på at forårsage nedbrud.
Mange af de fejl Konovalov, der blev rundsendt til mailing-liste blev rapporteret i September og oktober, som er fundet i release kandidater af kernen version 4.14 og fast ved Linux-kerne-udviklere i løbet af udviklingsprocessen.
Konovalov er syzkaller rapporter er at holde kerne-udviklere travlt. Flere af de nyeste USB-fejl, der Konovalov rapporteret påvirket Linux 4.14 release candidate (RC) 8. Torvalds, offentliggjorde den 4.14 RC 8 release på søndag, og mandag Konovalov havde fundet en håndfuld af andre USB-fejl, hvoraf nogle er blevet rettet, og andre ikke.
Torvalds sagde Linux 4.14.0 bør frigives næste søndag.
Konovalov tidligere dette år opdagede en 11-årig fejl i Linux-kernen, med samme fuzzing værktøj.
Linux-kernen grundlægger Linus Torvalds for nylig krediteret mennesker at gøre “målrettet fuzzing af driver delsystemer” for at hjælpe med at finde sikkerhedsspørgsmål.
Billede: Aalto University/YouTube
Tidligere og relaterede dækning
Linus Torvalds siger målrettet fuzzing er at forbedre Linux sikkerhed
Linux 4.14 release candidate fem er ude. “Gå ud og teste,” siger Linus Torvalds.
Google ‘ s Project Zero fuzzed top-browsere for fejl: Safari-brugere ikke kan lide de resultater,
Google ‘ s Project Zero udgivelser open-source værktøj, der bruges til at finde nye bugs i store browsere.
Linux er ti år gamle fejl: de Store distributioner flytte til patch alvorlig kerne fejl
Google fuzzer hjælper med at finde 11-årige hukommelse-korruption fejl i Linux-kernen.
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0